CVE-2026-24782
Kiteworks Secure Data Forms has a SQL Injection vulnerability
Em resumo
O Kiteworks Secure Data Forms possui uma falha que permite usuários autenticados com permissão de FormBuilder injetar comandos SQL maliciosos, podendo roubar ou modificar dados de formulários de outros usuários e configurações do sistema.
Detalhe técnico
Vulnerabilidade de Injeção SQL no Kiteworks Secure Data Forms (CVE-2026-24782, CVSS 7.6) explorável por ataque de usuários autenticados com função FormBuilder. O vetor de ataque envolve consultas SQL malformadas através de parâmetros de definição de formulários, permitindo acesso não autorizado e modificação de definições de formulários e parâmetros de configuração global. A mitigação requer atualização para versão 9.3.0 ou posterior.
Resumo gerado e traduzido por IA a partir da descrição oficial.
Kiteworks is a private data network (PDN). Prior to version 9.3.0,ultiple SQL Injection vulnerabilities in Kiteworks Secure Data Forms could be exploited by an authenticated attacker with the FormBuilder role to retrieve information on or modify other users' form definitions and some global configuration parameters. Upgrade Kiteworks to version 9.3.0 or later to receive a patch.
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:H/A:L
Produtos afetados
kiteworks · Secure Data FormsQuer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →