Claudio Rizzo

**Nome do software vulnerável e versões afetadas** Versões do Archibus Web Central anteriores à 26.2 **Descrição** A falha permite vulnerabilidades de injeção de SQL no endpoint “dwr/call/plaincall/workflow.runWorkflowRule.dwr”. Por meio da injeção de instruções SQL arbitrárias, um possível invasor pode modificar a sintaxe da consulta e realizar operações não autorizadas no banco de dados remoto. **Recomendações** Para versões anteriores à 26.2, atualize para a versão 26.2 ou uma versão mais recente para resolver o problema. Como solução temporária, considere restringir o acesso ao endpoint “dwr/call/plaincall/workflow.runWorkflowRule.dwr” até que um patch seja aplicado.