| Title | SaltcornにおけるSQL インジェクションの脆弱性 |
|---|---|
| Summary | Saltcornは拡張可能なオープンソースのノーコードデータベースアプリケーションビルダーです。バージョン1.4.6、1.5.6、および1.6.0-beta.5以前のSaltcornのmobile-syncルートにSQLインジェクションの脆弱性が存在します。少なくとも1つのテーブルに対する読み取り権限を持つ認証済みの低権限ユーザーが、同期パラメータを通じて任意のSQLを注入することが可能です。これにより、管理者のパスワードハッシュや設定の秘密情報を含むデータベース全体の情報漏洩が発生する可能性があり、バックエンドによってはデータベースの改変や破壊も引き起こす恐れがあります。この脆弱性はバージョン1.4.6、1.5.6、および1.6.0-beta.5で修正されました。 |
| Possible impacts | 当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。 また、当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。 さらに、当該ソフトウェアが完全に停止する可能性があります。 そして、この脆弱性を悪用した攻撃により、他のソフトウェアにも影響が及ぶ可能性があります。 |
| Solution | 正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 |
| Publication Date | April 24, 2026, midnight |
| Registration Date | April 30, 2026, 10:59 a.m. |
| Last Update | April 30, 2026, 10:59 a.m. |
| CVSS3.0 : 緊急 | |
| Score | 9.9 |
|---|---|
| Vector | CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H |
| Saltcorn |
| Saltcorn 1.4.6 未満 |
| Saltcorn 1.5.0 以上 1.5.6 未満 |
| Saltcorn 1.6.0 |
| No | Changed Details | Date of change |
|---|---|---|
| 1 | [2026年04月30日] 掲載 |
April 30, 2026, 10:59 a.m. |
| Summary | Saltcorn is an extensible, open source, no-code database application builder. Prior to 1.4.6, 1.5.6, and 1.6.0-beta.5, a SQL injection vulnerability in Saltcorn’s mobile-sync routes allows any authenticated low-privilege user with read access to at least one table to inject arbitrary SQL through sync parameters. This can lead to full database exfiltration, including admin password hashes and configuration secrets, and may also enable database modification or destruction depending on the backend. This vulnerability is fixed in 1.4.6, 1.5.6, and 1.6.0-beta.5. |
|---|---|
| Publication Date | April 25, 2026, 6:16 a.m. |
| Registration Date | April 26, 2026, 4:07 a.m. |
| Last Update | April 28, 2026, 11:58 p.m. |
| Configuration1 | or higher | or less | more than | less than | |
| cpe:2.3:a:saltcorn:saltcorn:*:*:*:*:*:*:*:* | 1.4.6 | ||||
| cpe:2.3:a:saltcorn:saltcorn:*:*:*:*:*:*:*:* | 1.5.0 | 1.5.6 | |||
| cpe:2.3:a:saltcorn:saltcorn:1.6.0:alpha0:*:*:*:*:*:* | |||||
| cpe:2.3:a:saltcorn:saltcorn:1.6.0:alpha1:*:*:*:*:*:* | |||||
| cpe:2.3:a:saltcorn:saltcorn:1.6.0:alpha10:*:*:*:*:*:* | |||||
| cpe:2.3:a:saltcorn:saltcorn:1.6.0:alpha11:*:*:*:*:*:* | |||||
| cpe:2.3:a:saltcorn:saltcorn:1.6.0:alpha12:*:*:*:*:*:* | |||||
| cpe:2.3:a:saltcorn:saltcorn:1.6.0:alpha13:*:*:*:*:*:* | |||||
| cpe:2.3:a:saltcorn:saltcorn:1.6.0:alpha14:*:*:*:*:*:* | |||||
| cpe:2.3:a:saltcorn:saltcorn:1.6.0:alpha15:*:*:*:*:*:* | |||||
| cpe:2.3:a:saltcorn:saltcorn:1.6.0:alpha16:*:*:*:*:*:* | |||||
| cpe:2.3:a:saltcorn:saltcorn:1.6.0:alpha17:*:*:*:*:*:* | |||||
| cpe:2.3:a:saltcorn:saltcorn:1.6.0:alpha2:*:*:*:*:*:* | |||||
| cpe:2.3:a:saltcorn:saltcorn:1.6.0:alpha3:*:*:*:*:*:* | |||||
| cpe:2.3:a:saltcorn:saltcorn:1.6.0:alpha4:*:*:*:*:*:* | |||||
| cpe:2.3:a:saltcorn:saltcorn:1.6.0:alpha5:*:*:*:*:*:* | |||||
| cpe:2.3:a:saltcorn:saltcorn:1.6.0:alpha6:*:*:*:*:*:* | |||||
| cpe:2.3:a:saltcorn:saltcorn:1.6.0:alpha7:*:*:*:*:*:* | |||||
| cpe:2.3:a:saltcorn:saltcorn:1.6.0:alpha8:*:*:*:*:*:* | |||||
| cpe:2.3:a:saltcorn:saltcorn:1.6.0:alpha9:*:*:*:*:*:* | |||||
| cpe:2.3:a:saltcorn:saltcorn:1.6.0:beta1:*:*:*:*:*:* | |||||
| cpe:2.3:a:saltcorn:saltcorn:1.6.0:beta2:*:*:*:*:*:* | |||||
| cpe:2.3:a:saltcorn:saltcorn:1.6.0:beta3:*:*:*:*:*:* | |||||
| cpe:2.3:a:saltcorn:saltcorn:1.6.0:beta4:*:*:*:*:*:* | |||||