Inyección SQL en la aplicación de Umami Software
Aplicación de Umami, versión 3.0.2.
INCIBE ha coordinado la publicación de una vulnerabilidad de severidad crítica que afecta a la aplicación de Umami Software, una plataforma de análisis. La vulnerabilidad ha sido descubierta por Hector Ruiz Ruiz & NaxusAI.
A esta vulnerabilidad se le ha asignado el siguiente código, puntuación base CVSS v4.0, vector del CVSS y el tipo de vulnerabilidad CWE:
- CVE-2026-4317: CVSS v4.0: 9.3 | CVSS AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:L/SC:N/SI:N/SA:H | CWE-89
La vulnerabilidad ha sido solucionada por el equipo de Umami Software en la versión 3.0.3.
CVE-2026-4317: vulnerabilidad de inyección SQL (SQLi) en la aplicación web de Umami Software debido a un parámetro mal depurado, lo que podría permitir a un atacante autenticado ejecutar comandos SQL arbitrarios en la base de datos. En concreto, podría manipular el valor del parámetro de solicitud 'timezone' incluyendo caracteres maliciosos y código SQL. La aplicación interpolaría estos valores directamente en la consulta SQL sin realizar primero un filtrado o una sanitización adecuados (por ejemplo, utilizando funciones como 'prisma.rawQuery', 'prisma.$queryRawUnsafe' o consultas sin procesar con 'ClickHouse'). La explotación exitosa de esta vulnerabilidad podría permitir a un atacante autenticado comprometer los datos de la base de datos y ejecutar funciones peligrosas.
| Identificador CVE | Severidad | Explotación | Fabricante |
|---|---|---|---|
| CVE-2026-4317 | Crítica | No | Umami Software |
