Alpakalee

**Nome do Software Vulnerável e Versões Afetadas** Daptin versões anteriores a 0.11.5 **Descrição** Existe um problema na função `processFuzzySearch` em `server/resource/resource findallpaginated.go` onde o software não valida o parâmetro `column` contra uma lista de permissões (whitelist). Ao utilizar o endpoint 'GET /api/<entity>' com o parâmetro `operator` definido como `fuzzy`, `fuzzy any` ou `fuzzy all`, o valor de `column` fornecido pelo usuário é dividido por vírgulas e interpolado diretamente em consultas SQL brutas. Isso permite que qualquer usuário autenticado, incluindo aqueles que se registraram autonomamente, realize injeção de SQL do tipo boolean-blind para ler todo o banco de dados. Detalhes técnicos sobre a exploração incluem: - **Endpoint da API**: 'GET /api/<entity>' - **Parâmetros Vulneráveis**: `column` e `operator` - **Função Vulnerável**: `processFuzzySearch()` Dependendo do driver do banco de dados, a injeção pode exigir valores específicos de `fuzzy options.fallback mode` para PostgreSQL, MySQL ou MSSQL, enquanto o SQLite é vulnerável por padrão. **Recomendações** Atualize para a versão 0.11.5. Como medida paliativa temporária, restrinja o acesso ao endpoint 'GET /api/<entity>' ou evite o uso dos operadores `fuzzy`, `fuzzy any` e `fuzzy all` até que a atualização seja aplicada.