Caleb Stewart

**Nome do software vulnerável e versões afetadas** BQE BillQuick Web Suite, versões de 2018 a 2021 anteriores à 22.0.9.1 **Descrição** A vulnerabilidade permite a injeção de SQL para a execução remota de código sem autenticação, tendo sido explorada em ambiente real em outubro de 2021 para a instalação de ransomware. A injeção de SQL pode utilizar o parâmetro `txtID` (também conhecido como `username`). A exploração bem-sucedida pode incluir a capacidade de executar código arbitrário como MSSQLSERVER$ por meio de `xp cmdshell()`. A vulnerabilidade está relacionada a erros na neutralização de elementos especiais em consultas SQL. Estima-se que 400.000 usuários em todo o mundo possam ser afetados, uma vez que os produtos são amplamente utilizados. **Recomendações** Para as versões 2018 a 2021 do BQE BillQuick Web Suite anteriores à 22.0.9.1, atualize para a versão 22.0.9.1 ou posterior para resolver o problema. Como solução alternativa temporária, considere restringir o acesso ao parâmetro `txtID` no formulário de login para minimizar o risco de exploração. Restrinja o acesso ao procedimento `xp cmdshell()` para impedir a execução remota de código.