Разработчики платформы для управления проектами SOPlanning выпустили обновление 1.56.01, устраняющее уязвимость CVE-2026-50644, которая позволяет внедрять SQL-команды через настройки хранения аудита. Проблема получила высокий уровень опасности по шкале CVSS 4.0 - 8,6 балла. О наличии дефекта сообщили независимые исследователи, не раскрывая деталей до выхода патча.
Уязвимость CVE-2026-50644
Уязвимость затрагивает механизм управления политикой хранения записей аудита. Злоумышленник, обладающий правами "parameters_all", может через форму настроек аудита сохранить произвольный SQL-запрос. Выполнение вредоносной команды происходит в момент, когда система аудита обращается к сохранённым данным - либо самим атакующим, либо другим пользователем, если тот просматривает отчёты. Атака реализуется дистанционно, без привлечения дополнительных привилегий после получения прав на параметры.
Успешная эксплуатация позволяет потенциальному нарушителю извлекать содержимое базы данных SOPlanning, изменять или удалять записи, в том числе те, что не связаны напрямую с аудитом. Например, возможен вывод чувствительной информации о пользователях, проектах, настройках или даже полный захват управления учётными записями с последующей эскалацией привилегий. Ограничением является лишь необходимость предварительно иметь доступ к разделу управления параметрами, что в типовой конфигурации доступно администраторам или менеджерам с расширенными правами.
Описанная техника относится к классу CWE-89 - неспособность корректно нейтрализовать специальные символы в SQL-командах. В данном случае форма конфигурации не фильтрует входящие данные перед сохранением, и система аудита не изолирует подставляемые значения при дальнейшей обработке. Разработчики SOPlanning исправили ошибку в версии 1.56.01, добавив параметризацию запросов и проверку вводимых строк. Пользователям настоятельно рекомендуется обновить установку до указанной версии или выше, если таковая появится.
На момент публикации уведомления в базе CVE сведения об активной эксплуатации в реальных атаках отсутствуют. Однако уязвимость привлекает внимание из‑за того, что SOPlanning широко используется в сфере управления проектами, в том числе в малом и среднем бизнесе. Атака не требует сложных ресурсов - достаточно стандартных инструментов для внедрения SQL-кода. Компании, которые доверили платформе хранение внутренних расписаний, документов и контактов, рискуют столкнуться с утечкой данных, если не применят патч своевременно.
Временных мер защиты, позволяющих полностью заблокировать атаку без обновления, не предусмотрено. Можно ограничить права "parameters_all" минимальным кругом лиц или вовсе отключить модуль аудита до установки патча, но это повлияет на функциональность. Более надёжным решением остаётся переход на версию 1.56.01, где проблема закрыта на уровне кода.
Разработчики SOPlanning в своём бюллетене подчеркнули, что уязвимость обнаружена в рамках внутреннего аудита кода, а не в результате инцидента. В компании отметили, что все последующие обновления будут проходить обязательную проверку на SQL-инъекции. Пользователям рекомендовано отслеживать выход новых релизов в официальном репозитории.
Ситуация с CVE-2026-50644 в очередной раз напоминает, что уязвимости в функциях, работающих с хранимыми процедурами и пользовательским вводом, остаются одной из наиболее частых и опасных проблем в веб-приложениях. Несмотря на многолетнюю известность SQL-инъекций, ошибки вроде пропуска фильтрации в настройках аудита регулярно встречаются в популярных платформах. Разработчикам стоит уделять особое внимание модулям, где данные сохраняются в базу без прямого отображения - такие места часто остаются вне фокуса тестирования.
Для конечных пользователей обновление до исправленной версии - единственный полноценный способ защиты. Откладывать установку патча не следует: хотя достоверных свидетельств эксплуатации пока нет, публикация CVE-2026-50644 делает описание дефекта общедоступным, а значит, в ближайшие дни может появиться и код для атаки, что повышает риски для незащищённых систем.
Ссылки