CVE-2024-36058
🟠 Łataj w tym tygodniu
Wstrzyknięcie SQL w Koha Library umożliwia dostęp do danych z bazy przez nieprawidłowe parametry.
CVSS
9.8
EPSS
0.1%
Exploit
none
Vendor
Opis źródłowy (NVD)
The Send Basket functionality in Koha Library before 23.05.10 is susceptible to Time-Based SQL Injection because it fails to sanitize the POST parameter bib_list in /cgi-bin/koha/opac-sendbasket.pl, allowing library users to read arbitrary data from the database.
sql-injection
Brak patcha
Źródła i daty
| Źródło | Wartość |
|---|---|
| NVD – CVSS | 9.8 |
| CISA KEV (aktywnie wykorzystywane) | Nie |
| FIRST EPSS (prawdopodobieństwo exploita) | 0.1% |
| Opublikowano (NVD) | 2026-04-07 17:16:25 UTC |
| Ostatnia modyfikacja (NVD) | 2026-04-09 14:16:24 UTC |
Referencje
- https://github.com/hacklantic/Research/tree/main/CVE-2024-36058 (cve@mitre.org)
- https://gitlab.com/koha-community/Koha/-/blob/23.05.x/misc/release_notes/release_notes_23_05_10.md (cve@mitre.org)
- https://gitlab.com/koha-community/Koha/-/blob/23.05.x/misc/release_notes/release_notes_23_05_11.md (cve@mitre.org)
- https://koha-community.org/koha-22-05-22-released/ (cve@mitre.org)