CVE-2026-24782

Kiteworks Secure Data Forms has a SQL Injection vulnerability

CVSS 7.6 HIGHEPSS 0.7%CWE-89

En resumen

Kiteworks Secure Data Forms tiene una falla que permite a usuarios autenticados con permisos de FormBuilder inyectar comandos SQL maliciosos, pudiendo robar o modificar datos de formularios de otros usuarios y configuraciones del sistema.

Detalle técnico

Vulnerabilidad de Inyección SQL en Kiteworks Secure Data Forms (CVE-2026-24782, CVSS 7.6) explotable por atacantes autenticados con rol FormBuilder. El vector de ataque involucra consultas SQL malformadas a través de parámetros de definición de formularios, permitiendo acceso no autorizado y modificación de definiciones de formularios de otros usuarios y parámetros de configuración global. La mitigación requiere actualizar a la versión 9.3.0 o posterior.

Resumen generado y traducido por IA a partir de la descripción oficial.

Kiteworks is a private data network (PDN). Prior to version 9.3.0,ultiple SQL Injection vulnerabilities in Kiteworks Secure Data Forms could be exploited by an authenticated attacker with the FormBuilder role to retrieve information on or modify other users' form definitions and some global configuration parameters. Upgrade Kiteworks to version 9.3.0 or later to receive a patch.

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:H/A:L

Productos afectados

kiteworks · Secure Data Forms

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →

Referencias

https://github.com/kiteworks/security-advisories/security/advisories/GHSA-849r-gm3r-4v5c