CVE-2026-27834— Piwigo 安全漏洞
新しい脆弱性情報の通知を購読するログインして購読
I. CVE-2026-27834の基本情報
脆弱性情報
脆弱性についてご質問がありますか?Shenlongの分析が参考になるかご確認ください!
Shenlongの10の質問を表示 ↗ 高度な大規模言語モデル技術を使用していますが、出力には不正確または古い情報が含まれる可能性があります。Shenlongはデータの正確性を確保するよう努めていますが、実際の状況に基づいて検証・判断してください。
脆弱性タイトル
Piwigo: SQL Injection in pwg.users.getList API Method via filter Parameter
ソース: NVD (National Vulnerability Database)
脆弱性説明
Piwigo is an open source photo gallery application for the web. Prior to version 16.3.0, a SQL Injection vulnerability exists in the pwg.users.getList Web Service API method. The filter parameter is directly concatenated into a SQL query without proper sanitization, allowing authenticated administrators to execute arbitrary SQL commands. This issue has been patched in version 16.3.0.
ソース: NVD (National Vulnerability Database)
CVSS情報
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H
ソース: NVD (National Vulnerability Database)
脆弱性タイプ
SQL命令中使用的特殊元素转义处理不恰当(SQL注入)
ソース: NVD (National Vulnerability Database)
脆弱性タイトル
Piwigo 安全漏洞
ソース: CNNVD (China National Vulnerability Database)
脆弱性説明
Piwigo是Piwigo开源的一套基于Web的开源图片库软件。该软件包括图片管理、图片分类和权限管理等功能。 Piwigo 16.3.0之前版本存在安全漏洞,该漏洞源于pwg.users.getList Web Service API方法中filter参数未经适当清理直接拼接至SQL查询,可能导致经过身份验证的管理员执行任意SQL命令。
ソース: CNNVD (China National Vulnerability Database)
CVSS情報
N/A
ソース: CNNVD (China National Vulnerability Database)
脆弱性タイプ
N/A
ソース: CNNVD (China National Vulnerability Database)
影響を受ける製品
II. CVE-2026-27834の公開POC
| # | POC説明 | ソースリンク | Shenlongリンク |
|---|
AI生成POCプレミアム
Qwen3.6-35B-A3B · 6556 文字数
有料版に含まれるもの:
脆弱性の原理を深く分析
トリガー条件と影響範囲
完全な実行可能POCコード
攻撃チェーンと緩和策の提案
POCパッケージのダウンロード
月間100件以上のAI生成枠
III. CVE-2026-27834のインテリジェンス情報
请登录查看更多情报信息。
Same Patch Batch · Piwigo · 2026-04-03 · 4 CVEs total
| CVE-2026-27833 | 7.5 HIGH | Piwigo: Unauthenticated Information Disclosure via pwg.history.search API |
| CVE-2026-27885 | 7.2 HIGH | Piwigo: SQL Injection in Activity.getList |
| CVE-2026-27634 | Piwigo: Pre-auth SQL injection via date filter parameters in ws_std_image_sql_filter |
IV. 関連脆弱性
同じ製品: Piwigo
- CVE-2026-27885
Piwigo: SQL Injection in Activity.getList - CVE-2026-27833
Piwigo: Unauthenticated Information Disclosure via pwg.histo - CVE-2026-27634
Piwigo: Pre-auth SQL injection via date filter parameters in - CVE-2025-62512
Piwigo Vulnerable to User Enumeration via Password Reset End - CVE-2024-48928
Piwigo's secret key can be brute forced
同じベンダー: Piwigo
- CVE-2026-27885
Piwigo: SQL Injection in Activity.getList - CVE-2026-27833
Piwigo: Unauthenticated Information Disclosure via pwg.histo - CVE-2026-27634
Piwigo: Pre-auth SQL injection via date filter parameters in - CVE-2025-62512
Piwigo Vulnerable to User Enumeration via Password Reset End - CVE-2024-48928
Piwigo's secret key can be brute forced
同じ弱点: CWE-89
- CVE-2021-47941
WordPress Plugin Survey & Poll 1.5.7.3 SQL Injection via sss - CVE-2021-47930
Balbooa Joomla Forms Builder 2.0.6 SQL Injection Unauthentic - CVE-2021-47928
Opencart TMD Vendor System 3.x Blind SQL Injection via produ - CVE-2026-8231
CodeAstro Online Catering Ordering System deleteorder.php sq - CVE-2025-14179
SQL injection in pdo_firebird via NUL bytes in quoted string
V. CVE-2026-27834へのコメント
まだコメントはありません