anonhaven

CVE-2026-31891

HIGH CVSS 3.1: 7,7
Обновлено 18 марта 2026
PHP
Параметр Значение
CVSS 7,7 (HIGH)
Устранено в версии 2.13.5
Тип уязвимости CWE-89 (SQL-инъекция)
Поставщик PHP
Публичный эксплойт Нет

Cockpit — это безголовая система управления контентом. Любой экземпляр Cockpit CMS, работающий под управлением версии 2.13.4 или более ранней с включенным доступом через API, потенциально подвержен уязвимости внедрения SQL в оптимизаторе агрегации MongoLite. Любое развертывание, в котором конечная точка `/api/content/aggregate/{model}` общедоступна или доступна ненадежным пользователям, может быть уязвимым, и злоумышленники, обладающие действительным ключом API только для чтения (самый низкий уровень привилегий), могут воспользоваться этой уязвимостью — доступ администратора не требуется.

Злоумышленник может внедрить произвольный SQL-код через несанкционированные имена полей в запросах агрегации, обойти фильтр опубликованного контента `_state=1` для доступа к неопубликованному или ограниченному контенту и извлечь несанкционированные данные из базовой базы данных контента SQLite. Эта уязвимость исправлена ​​в версии 2.13.5. Исправление применяет ту же очистку имен полей, что и в версии 2.13.3 для `toJsonPath()`, к методу `toJsonExtractRaw()` в `lib/MongoLite/Aggregation/Optimizer.php`, закрывая вектор внедрения в оптимизаторе агрегации.

Показать оригинальное описание (EN)

Cockpit is a headless content management system. Any Cockpit CMS instance running version 2.13.4 or earlier with API access enabled is potentially affected by a a SQL Injection vulnerability in the MongoLite Aggregation Optimizer. Any deployment where the `/api/content/aggregate/{model}` endpoint is publicly accessible or reachable by untrusted users may be vulnerable, and attackers in possession of a valid read-only API key (the lowest privilege level) can exploit this vulnerability — no admin access is required. An attacker can inject arbitrary SQL via unsanitized field names in aggregation queries, bypass the `_state=1` published-content filter to access unpublished or restricted content, and extract unauthorized data from the underlying SQLite content database. This vulnerability has been patched in version 2.13.5. The fix applies the same field-name sanitization introduced in v2.13.3 for `toJsonPath()` to the `toJsonExtractRaw()` method in `lib/MongoLite/Aggregation/Optimizer.php`, closing the injection vector in the Aggregation Optimizer.

Характеристики атаки

Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Нужны права
Низкие
Нужны базовые права
Участие пользователя
Не требуется
Не нужно действие пользователя

Последствия

Конфиденциальность
Высокое
Полная утечка данных
Целостность
Нет
Нет модификации данных
Доступность
Нет
Нет нарушения работы

Строка CVSS v3.1

Тип уязвимости (CWE)

CWE-89 SQL Injection (SQL-инъекция)

Ссылки 2

https://github.com/Cockpit-HQ/Cockpit/releases/tag/2.13.5
security-advisories@github.com
https://github.com/Cockpit-HQ/Cockpit/security/advisories/GHSA-7x5c-vfhj-9628
security-advisories@github.com
Share Post Share Share Share

Связанные уязвимости

CVE-2026-4356

PHP

4,8

CVE-2026-4355

PHP

5,1

CVE-2026-27895

PHP

4,3

CVE-2026-27894

PHP

8,8

CVE-2026-4319

PHP

6,9