CVE-2026-48188: Krytyczna luka SQL Injection w OTRS
Krytyczna podatność SQL Injection w OTRS umożliwia nieautoryzowany dostęp. Sprawdź zalecenia i zabezpiecz system przed atakiem.
- CVSS
- 9.1 CRITICAL
- EPSS
- 28.22%
- Aktywnie wykorzystywana
- brak w KEV
- Produkt
- otrs
Co wiadomo
W module warstwy bazy danych OTRS lub ((OTRS)) Community Edition wykryto podatność na nieprawidłową walidację danych wejściowych, umożliwiającą nieautoryzowany atak SQL Injection i ominięcie uwierzytelniania. Luka występuje, gdy serwer MySQL/MariaDB jest skonfigurowany z trybem NO_BACKSLASH_ESCAPES.
Wpływ biznesowy
Podatność ta może pozwolić atakującemu na dostęp do systemu bez uwierzytelnienia, co stanowi poważne zagrożenie dla bezpieczeństwa danych i integralności systemu. Organizacje korzystające z wersji OTRS wymienionych jako podatne powinny traktować tę lukę jako krytyczną i priorytetowo ją adresować, aby zapobiec potencjalnym naruszeniom bezpieczeństwa.
Rekomendowane działania administratora
Zaleca się niezwłoczne sprawdzenie dostępności aktualizacji lub poprawek od dostawcy OTRS oraz ich wdrożenie. W międzyczasie warto ograniczyć ekspozycję serwera bazy danych, zweryfikować konfigurację SQL oraz monitorować logi pod kątem podejrzanej aktywności. Priorytetowo należy ocenić ryzyko i przygotować plan reagowania na incydenty.