CVE-2026-39946

Fiche CVE

Go Injection SQL

Injection SQL dans OpenBao

OpenBao présente une vulnérabilité d'injection SQL dans son moteur de gestion des secrets PostgreSQL. Avant la version 2.5.3, des erreurs de citation des noms de schéma peuvent entraîner des échecs de révocation de rôle ou, plus rarement, des injections SQL.

solution disponible moyen

Détection 100/100 Remédiation 75/100

Catégorisation Go

Injection SQL

Que font les attaquants ? Scénario type

Les attaquants peuvent exploiter cette vulnérabilité pour réaliser des injections SQL, compromettant ainsi la sécurité des données dans la base de données PostgreSQL.

Risque si non traité moyen

Le risque est modéré, car un attaquant pourrait obtenir des privilèges non autorisés sur la base de données, affectant la confidentialité et l'intégrité des données.

Les utilisateurs d'OpenBao dans les versions antérieures à 2.5.3 sont concernés. La détection peut être effectuée en vérifiant les versions et l'exposition des composants affectés.

Éditeur	Produit	Écosystème	Versions connues
openbao	openbao	n/d	< 2.5.3
Go	github.com/openbao/openbao	Go	n/d
go	github.com/openbao/openbao	go	0.0.0-20260420155735-b596b0882620

Étape 1
Identifiez les instances d'OpenBao dans votre environnement.
Étape 2
Vérifiez si vos versions déployées sont affectées et si le composant est exposé.
Étape 3
Mettez à jour vers la version corrigée 2.5.3 ou supérieure.
Étape 4
Si une mise à jour immédiate n'est pas possible, limitez l'exposition et renforcez la surveillance des accès à la base de données.

Confirmation confirmée

CVE confirmée par une source officielle.

Détection disponible

Détection possible en vérifiant la présence des produits affectés openbao / openbao, Go / github.com/openbao/openbao, go / github.com/openbao/openbao. Contrôler les versions et l'exposition des composants référencés.

Remédiation solution disponible

Version corrigée publiée : 0.0.0-20260420155735-b596b0882620.

2026-04-21 18:26 UTC Dernière mise à jour connue mise_a_jour
2026-04-21 18:26 UTC Version corrigée publiée : 0.0.0-20260420155735-b596b0882620. solution_available
2026-04-21 00:19 UTC Publication de la CVE publication

Publication: 2026-04-21 00:19 UTC
Dernière mise à jour: 2026-04-21 18:26 UTC
Première détection locale: 2026-04-22 18:05 UTC
Dernier traitement: 2026-04-22 18:05 UTC
Score: 4.6
Source score: NVD cvssMetricV40
Publication fiche: 2026-04-22 18:05 UTC

Référence technique

CVE.org consultée le 2026-04-22 18:05 UTC
NVD consultée le 2026-04-22 18:05 UTC
GitHub Advisory Database consultée le 2026-04-22 18:05 UTC
OSV.dev consultée le 2026-04-22 18:05 UTC

https://github.com/openbao/openbao/security/advisories/GHSA-6vgr-cp5c-ffx3 x_refsource_CONFIRM
https://nvd.nist.gov/vuln/detail/CVE-2026-39946 ADVISORY
https://github.com/openbao/openbao/pull/2931 WEB
https://github.com/openbao/openbao/commit/80693a46ebb4fc2455f1c51ed1dd853b28c2fd77 WEB
https://github.com/openbao/openbao PACKAGE
https://github.com/openbao/openbao/releases/tag/v2.5.3 WEB
https://github.com/advisories/GHSA-6vgr-cp5c-ffx3 Vendor Advisory

CVE-2026-39946

CVE-2026-39946

Résumé opérationnel

Vérification d’impact

Procédure recommandée

Qualification et chronologie