← Back
CVE-2026-57955
high
CVSS 8.5
SigNoz through 0.130.1 contains a SQL injection vulnerability that allows authenticated attackers...
Summary
SigNoz through 0.130.1 contains a SQL injection vulnerability that allows authenticated attackers...
AI summary openai / gpt-4o
SigNoz バージョン0.130.1までにSQLインジェクションの脆弱性が存在し、認証された攻撃者がalert-historyエンドポイントのrule IDパスパラメータにURLエンコードされたクォートを注入することで、任意のClickHouseクエリを実行できる。これにより、保存されたトレース、ログ、メトリクスを読み取ったり、url()関数を悪用してサーバーサイドリクエストフォージェリを行うことが可能である。
❓ What is the problem
SQLインジェクションの脆弱性
📍 Affected scope
SigNoz バージョン0.130.1までのalert-historyエンドポイント
🔥 Severity
攻撃者が任意のClickHouseクエリを実行可能
🔧 How to fix
最新バージョンへのアップデートと入力のエスケープ処理を導入
🛡️ Workaround
URLエンコードされた入力を無効化するフィルタを設定
🔍 Detection
rule IDパラメータに不正なクォートが含まれていないかログを監視