The Tarkov Data Manager is a tool to manage the Tarkov item data. Prior to commit 9bdb3a75a98a7047b6d70144eb1da1655d6992a8, a time based blind SQL injection vulnerability in the webhook edit and scanner api endpoints that allow an authenticated attacker to execute arbitrary SQL queries against the MySQL database. Commit 9bdb3a75a98a7047b6d70144eb1da1655d6992a8 contains a patch.
A time-based blind SQL injection vulnerability (CVE-2026-21856) exists in Tarkov Data Manager's webhook edit and scanner API endpoints, allowing authenticated attackers to execute arbitrary SQL queries against the MySQL database with a CVSS score of 7.2. The vulnerability has been patched in commit 9bdb3a75a98a7047b6d70144eb1da1655d6992a8, and active exploits are available.
تسمح هذه الثغرة الأمنية للمهاجمين المصادق عليهم باستغلال نقاط ضعف حقن SQL في واجهات برمجة التطبيقات الخاصة بتحرير الويب هوك والماسح الضوئي لتنفيذ استعلامات SQL خبيثة ضد قاعدة بيانات MySQL. تستخدم تقنية الحقن العمياء المعتمدة على الوقت لاستخراج البيانات الحساسة من قاعدة البيانات دون الحاجة إلى رؤية النتائج مباشرة. يمكن للمهاجمين الوصول إلى معلومات سرية، تعديل البيانات، أو تنفيذ أوامر إدارية على قاعدة البيانات. تصنف الثغرة ضمن CWE-89 وتحمل درجة خطورة عالية بسبب إمكانية الوصول غير المصرح به للبيانات الحساسة.
توجد ثغرة حقن SQL العمياء المعتمدة على الوقت (CVE-2026-21856) في نقاط نهاية واجهة برمجة التطبيقات لتحرير الويب هوك والماسح الضوئي في مدير بيانات تاركوف، مما يسمح للمهاجمين المصادق عليهم بتنفيذ استعلامات SQL عشوائية ضد قاعدة بيانات MySQL بدرجة خطورة 7.2. تم إصلاح الثغرة في الالتزام 9bdb3a75a98a7047b6d70144eb1da1655d6992a8، وتتوفر استغلالات نشطة للثغرة.
1. Immediately update Tarkov Data Manager to commit 9bdb3a75a98a7047b6d70144eb1da1655d6992a8 or later version that includes the SQL injection patch and verify the update through version control systems.
2. Implement parameterized queries and prepared statements across all database interactions, conduct comprehensive code review of webhook and scanner API endpoints, and deploy web application firewalls (WAF) with SQL injection detection rules.
3. Review database access logs for suspicious time-based query patterns, revoke and rotate credentials for all authenticated users with API access, implement principle of least privilege for database accounts, and establish continuous monitoring for abnormal database query execution times.
1. تحديث مدير بيانات تاركوف فوراً إلى الالتزام 9bdb3a75a98a7047b6d70144eb1da1655d6992a8 أو إصدار أحدث يتضمن إصلاح ثغرة حقن SQL والتحقق من التحديث من خلال أنظمة التحكم في الإصدارات.
2. تنفيذ الاستعلامات المعلمية والبيانات المحضرة عبر جميع تفاعلات قاعدة البيانات، وإجراء مراجعة شاملة للكود لنقاط نهاية واجهة برمجة التطبيقات للويب هوك والماسح الضوئي، ونشر جدران حماية تطبيقات الويب (WAF) مع قواعد كشف حقن SQL.
3. مراجعة سجلات الوصول إلى قاعدة البيانات للبحث عن أنماط استعلامات مشبوهة معتمدة على الوقت، وإلغاء وتدوير بيانات الاعتماد لجميع المستخدمين المصادق عليهم الذين لديهم وصول لواجهة برمجة التطبيقات، وتنفيذ مبدأ الامتيازات الأقل لحسابات قاعدة البيانات، وإنشاء مراقبة مستمرة لأوقات تنفيذ استعلامات قاعدة البيانات غير الطبيعية.