CVE-2026-46624

CRÍTIC (9,9)

CVSS3: 0,0

Twenty és un CRM de codi obert. Des de la versió 1.7.7 fins a la 1.16.7, existeix una vulnerabilitat crítica d’execució remota de codi (RCE) al Twenty CRM a través d’un atac encadenat d’injecció SQL i COPY TO PROGRAM de PostgreSQL. Si l’usuari de PostgreSQL és un superusuari, qualsevol usuari autenticat pot executar ordres arbitràries del sistema operatiu al servidor de bases de dades injectant SQL a través del paràmetre timeZone no sanejat al punt final groupBy de l’API REST. El camp timeZone dins del paràmetre de consulta group_by s’interpola directament en una expressió SQL en brut mitjançant literals de plantilla de JavaScript sense cap parametrització, validació ni escapada. Això afecta engine/api/graphql/graphql-query-runner/group-by/resolvers/utils/get-group-by-expression.util.ts.

Sistemes Afectats

• Twenty Twenty

Remediació

Vegeu-ne les Referències.

Referències

• Vendor Advisory;Exploit
• Vendor Advisory;Exploit