| CVE ID | CVE-2026-50644 |
| Data publikacji | 09 lipca 2026 |
| Producent podatnego oprogramowania | SOPlanning |
| Nazwa podatnego oprogramowania | SOPlanning |
| Podatne wersje | Wszystkie poniżej 1.56.01 |
| Typ podatności (CWE) | Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') (CWE-89) |
| Źródło zgłoszenia | Zgłoszenie do CERT Polska |
Opis podatności
CERT Polska otrzymał zgłoszenie o podatności w oprogramowaniu SOPlanning i koordynował proces ujawniania informacji.
Podatność CVE-2026-50644: W SOPlanning zidentyfikowano podatność typu SQL Injection w konfiguracji retencji audytu. Atakujący posiadający uprawnienia parameters_all może wstrzyknąć polecenia SQL do formularza konfiguracji audytu, który jest następnie zapisywany. Wykonanie następuje, gdy uzyskuje się dostęp do funkcjonalności audytu (przez atakującego lub innego użytkownika).
Ten problem został rozwiązany w wersji 1.56.01
Podziękowania
Za zgłoszenie podatności dziękujemy Arkadiuszowi Marcie.
Więcej o procesie zgłaszania podatności można przeczytać na stronie https://cert.pl/cvd/.