Achrinz

**Nome do software vulnerável e versões afetadas** Versões do LoopBack anteriores à 5.5.1 **Descrição** A validação inadequada de entradas no filtro `contains` do LoopBack pode permitir a injeção de SQL arbitrária. Quando a propriedade estendida do filtro `contains` é permitida para interpretação pelo conector Postgres, é possível injetar SQL arbitrário, o que pode afetar a confidencialidade e a integridade dos dados armazenados no banco de dados conectado. Isso afeta usuários que se conectam ao banco de dados via DataSource com a configuração `allowExtendedProperties: true`, usam os métodos CRUD do conector diretamente ou usam outros métodos do conector para interpretar o filtro LoopBack. **Recomendações** Para versões anteriores à 5.5.1, atualize para a versão 5.5.1 para resolver o problema. Se não for possível atualizar, remova a configuração `allowExtendedProperties: true` do DataSource e adicione a configuração `allowExtendedProperties: false` ao DataSource. Ao passar diretamente para as funções do conector, sanitize manualmente a entrada do usuário para o filtro LoopBack `contains` com antecedência.