В плагине Katello для Red Hat Satellite обнаружена уязвимость. Эта уязвимость, вызванная неправильной очисткой вводимых пользователем данных, позволяет удаленному злоумышленнику вводить произвольные команды SQL в параметр sort_by конечной точки API /api/hosts/bootc_images. Это может привести к отказу в обслуживании (DoS), вызывая ошибки базы данных, и потенциально активировать слепую инъекцию SQL на основе логических значений, которая может позволить злоумышленнику извлечь конфиденциальную информацию из базы данных.
Показать оригинальное описание (EN)
A flaw was found in the Katello plugin for Red Hat Satellite. This vulnerability, caused by improper sanitization of user-provided input, allows a remote attacker to inject arbitrary SQL commands into the sort_by parameter of the /api/hosts/bootc_images API endpoint. This can lead to a Denial of Service (DoS) by triggering database errors, and potentially enable Boolean-based Blind SQL injection, which could allow an attacker to extract sensitive information from the database.
Характеристики атаки
Последствия
Строка CVSS v3.1