ProjeQtor - CVE-2026-41462
Date de publication :
Il s'agit d'une vulnérabilité d'injection SQL dans la page d'authentification de ProjeQtor.
ProjeQtor est un logiciel de gestion de projets open source auto-hébergeable. Il couvre la planification, le suivi, la gestion de portefeuille de projets, la collaboration et la gestion documentaire.
La variable $login, contrôlée par l'utilisateur, est concaténée directement dans la requête SQL sans paramétrage ni sanitisation. Un attaquant peut injecter des expressions SQL arbitraires dans le champ nom d'utilisateur sans détenir de compte. Selon les permissions de l'utilisateur de base de données, l'exploitation peut aller jusqu'à l'exécution de commandes système.
Elle permet un accès complet à la base de données, la création de comptes administrateurs et potentiellement une exécution de code arbitraire à distance.
Informations
La faille est activement exploitée : Non
Un correctif existe : Oui
Une mesure de contournement existe : Non
• Élévation de privilèges
• Atteinte à la confidentialité des données
• Atteinte à l'intégrité des données
Exploitation
CWE-89 : Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection')
Détails sur l'exploitation
• Vecteur d'attaque : Réseau
• Complexité de l'attaque : Faible
• Privilèges nécessaires pour réaliser l'attaque : Aucun
• Interaction d'un utilisateur ayant accès au produit est-elle nécessaire : Non
• L'exploitation de la faille permet d'obtenir des droits privilégiés : Oui
Preuve de concept
Actuellement, aucune preuve de concept n'est disponible en sources ouvertes.