A security issue was fixed in the correlations over-correlation endpoint where the order query parameter was accepted from user-controlled named request parameters. This allowed an authenticated user to override the server-defined ordering of over-correlating values. Depending on how the value was processed by the underlying data access layer, this could allow manipulation of database query ordering and potentially expose the application to unsafe query construction.
The patch removes order from the set of request-controlled parameters and instead sets the ordering server-side to occurrence desc after processing allowed user parameters.
Affected component:
app/Controller/CorrelationsController.php, overCorrelations()
Security impact:
An authenticated attacker could influence the ordering clause used by the over-correlations query. The direct impact appears limited to query manipulation unless further evidence confirms SQL injection or unauthorized data exposure through the manipulated ordering expression.
CVE-2026-10863 is a high-severity vulnerability in the correlations over-correlation endpoint that allows authenticated users to manipulate database query ordering through user-controlled parameters. The vulnerability could potentially expose the application to unsafe query construction and information disclosure, though direct impact is limited to query manipulation.
ثغرة في نقطة نهاية الارتباطات الزائدة تسمح للمستخدمين المصرح لهم بتجاوز معاملات الترتيب المحددة من قبل الخادم. يمكن للمهاجم المصرح له التأثير على شرط الترتيب في استعلام قاعدة البيانات، مما قد يؤدي إلى تعريض التطبيق لبناء استعلامات غير آمن.
هذا الثغرة تسمح للمستخدمين المصرح لهم بالتحكم في ترتيب استعلامات قاعدة البيانات في نقطة نهاية الارتباطات الزائدة. يمكن أن يؤدي هذا إلى تعريض التطبيق لبناء استعلامات غير آمن وتسرب المعلومات المحتملة.
Update the affected application to the patched version that removes user-controlled order parameter from the over-correlations endpoint. Verify that ordering is now set server-side to occurrence desc. Conduct security testing to confirm the vulnerability is resolved. Implement input validation and parameterized queries for all database operations.
قم بتحديث التطبيق المتأثر إلى الإصدار المصحح الذي يزيل معامل الترتيب الذي يتحكم به المستخدم. تحقق من أن الترتيب يتم تعيينه من جانب الخادم إلى occurrence desc. أجرِ اختبارات أمان شاملة. طبق التحقق من صحة المدخلات والاستعلامات المحددة مسبقاً.