Chiexf

Nome do software vulnerável e versões afetadas: ContiNew Admin versão 3.2.0 Descrição: Foi detectada uma falha crítica no ContiNew Admin, afetando a função `top.continew.starter.extension.crud.controller.BaseController#page` do arquivo `/api/system/user?deptId=1&page=1&size=10`. A manipulação do argumento `sort` leva à injeção de SQL. O ataque pode ser lançado remotamente. A exploração foi divulgada ao público e pode estar em uso. O fornecedor foi contatado antecipadamente sobre essa divulgação, mas não respondeu de forma alguma. Recomendações: Como solução temporária, considere desativar a função `top.continew.starter.extension.crud.controller.BaseController#page` até que um patch esteja disponível. Restrinja o acesso ao endpoint `/api/system/user` para minimizar o risco de exploração. Evite usar o argumento `sort` no endpoint da API afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

Nome do software vulnerável e versões afetadas: ContiNew Admin versão 3.2.0 Descrição: Foi encontrada uma vulnerabilidade crítica no ContiNew Admin, afetando a função `top.continew.starter.extension.crud.controller.BaseController#tree` do arquivo “/api/system/dept/tree?sort=parentId%2Casc&sort=sort%2Casc”. A manipulação do argumento `sort` leva à injeção de SQL. O ataque pode ser lançado remotamente. A exploração foi divulgada ao público e pode estar em uso. Recomendações: Para o ContiNew Admin versão 3.2.0, atualize para a versão 3.2.1 imediatamente para mitigar os riscos. Como solução temporária, considere restringir o acesso ao endpoint da API vulnerável “/api/system/dept/tree” até que o problema seja resolvido. Evite usar o argumento `sort` no endpoint da API afetado até que o problema seja resolvido.