Kritična SQL injection ranjivost u OSNexus QuantaStor omogućava zaobilaženje autentifikacije
SQL injection ranjivost u OSNexus QuantaStor omogućava zaobilaženje autentifikacije i pristup kao administrator.
Šta se desilo?
Otkrivena je kritična SQL injection ranjivost u OSNexus QuantaStor SDS Manager koja omogućava napadačima da zaobiđu mehanizam autentifikacije. Kroz neočisteno polje za korisničko ime na login endpointu, neovlašćeni napadač može izvršiti proizvoljan SQL kod i pristupiti sistemu sa administratorskim pravima bez znanja ispravne lozinke.
Koga pogađa?
Pogođeni su svi korisnici OSNexus QuantaStor SDS Manager sistema, posebno one organizacije koje koriste ovu platformu za upravljanje skladištem podataka. Napadači sa mrežnom dostupnošću do login endpointa mogu eksploatisati ranjivost bez dodatnih privilegija ili autentifikacije.
Kako se zaštititi?
- Odmah ažurirajte OSNexus QuantaStor na najnoviju verziju koju je proizvođač izdao
- Ograničite mrežni pristup login endpointu samo autorizovanim IP adresama
- Primeni Web Application Firewall (WAF) pravila koja filtriraju potencijalne SQL injection napade
- Redovno proverite access logove za sumnjive pokušaje prijave sa neobičnim karakterima u polju korisničkog imena
- Razmotri privremeno gašenje sistema dok zakrpa ne bude dostupna
Tehnički detalji
CVE-2026-10880 je SQL injection ranjivost CVSS skorom 9.8 (CRITICAL) koja se nalazi u login endpointu QuantaStor aplikacije. Specifično, username parametar nije pravilno validiran i sanitaran pre nego što se koristi u SQL upitu. Ovo omogućava napadačima da ubace proizvoljne SQL komande i izbegnu autentifikaciju kao administratori.
Preporuka Sajber Radara
Ovo je kritična ranjivost sa visokim rizikom jer omogućava neovlašćeni pristup sa punim administratorskim правима bez potrebe za lozinkom. Preporučujemo da sve organizacije koje koriste QuantaStor odmah primene dostupnu zakrpu ili primene privremene mere zaštite dok se nije moguće ažurirati sistem.