Leonnewton

Nome do software vulnerável e versões afetadas: Versões do Devtron anteriores à 0.7.2 Descrição: O Devtron é uma plataforma de integração de ferramentas de código aberto para o Kubernetes. Um usuário autenticado com permissões mínimas poderia utilizar e explorar uma injeção de SQL para permitir a execução de consultas SQL maliciosas por meio da API CreateUser (/orchestrator/user). A injeção de SQL pode ocorrer no código onde o parâmetro `userInfo` pode ser controlado pelos usuários, permitindo a criação e execução de consultas SQL maliciosas. O usuário deve estar autenticado, mas precisa apenas de permissões mínimas. Recomendações: Para versões do Devtron anteriores à 0.7.2, atualize para a versão 0.7.2 para resolver este problema imediatamente. Como solução temporária, considere restringir o acesso à API CreateUser (/orchestrator/user) até que a atualização seja aplicada. Evite usar o parâmetro `userInfo` no endpoint da API afetado até que o problema seja resolvido.

**Nome do software vulnerável e versões afetadas** Versões do LF Edge eKuiper anteriores à 1.14.2 **Descrição** Existe uma vulnerabilidade de injeção de SQL no sqlKvStore do LF Edge eKuiper, permitindo a execução de consultas SQL maliciosas por meio do método Get. Esse problema afeta vários manipuladores, incluindo explainRuleHandler, sourceManageHandler, asyncTaskCancelHandler e pluginHandler. O `rule id` pode ser usado para explorar consultas SQL, e a função de exclusão também está vulnerável. **Recomendações** Para versões anteriores à 1.14.2, atualize para a versão 1.14.2 para resolver o problema. Como solução alternativa temporária, considere restringir o acesso ao módulo sqlKvStore vulnerável para minimizar o risco de exploração. Evite usar o `rule id` nos endpoints da API afetados até que o problema seja resolvido.