Kritische SQL-Injection-Lücke in Alerta Monitoring-Tool
⚠️ CVE-Referenzen:
CVE-2026-34400
Zusammenfassung
Vor Version 9.1.0 des Alerta-Monitoring-Tools war die Query-String-Suche-API anfällig für SQL-Injection-Angriffe über den Postgres-Abfrage-Parser. Benutzereingegebene Suchbegriffe wurden direkt in SQL-Zeichenketten eingebunden und konnten so Schadcode ausführen. Das Problem wurde in Version 9.1.0 behoben.
Alerta is a monitoring tool. Prior to version 9.1.0, the Query string search API (q=) was vulnerable to SQL injection via the Postgres query parser, which built WHERE clauses by interpolating user-supplied search terms directly into SQL strings via f-strings. This issue has been patched in version 9.1.0.
Quelle: app.opencve.io