Philip-Larsen-Donnelly

**Nome do software vulnerável e versões afetadas** Versões do DHIS 2 anteriores à 2.36.12.1 Versões do DHIS 2 anteriores à 2.37.8.1 Versões do DHIS 2 anteriores à 2.38.2.1 Versões do DHIS 2 anteriores à 2.39.0.1 **Descrição** O DHIS 2 é um sistema de informação de código aberto para captura, gerenciamento, validação, análise e visualização de dados. Por meio de vários recursos do DHIS 2, um usuário autenticado pode fazer upload de um arquivo que inclua javascript incorporado. O usuário poderia então, potencialmente, induzir outro usuário autenticado a abrir o arquivo malicioso em um navegador, o que acionaria o código javascript, resultando em um ataque de cross-site scripting (XSS). **Recomendações** Para versões anteriores à 2.36.12.1, atualize para a versão 2.36.12.1. Para versões anteriores à 2.37.8.1, atualize para a versão 2.37.8.1. Para versões anteriores à 2.38.2.1, atualize para a versão 2.38.2.1. Para versões anteriores à 2.39.0.1, atualize para a versão 2.39.0.1. Como solução temporária para usuários que não possam atualizar, adicione a seguinte regra CSP simples em seu proxy web para os endpoints vulneráveis: `script-src ‘none’`. Isso impedirá que qualquer código JavaScript seja executado nesses endpoints.

**Nome do software vulnerável e versões afetadas** Versões do DHIS 2 anteriores à 2.36.12.1 Versões do DHIS 2 anteriores à 2.37.8.1 Versões do DHIS 2 anteriores à 2.38.2.1 Versões do DHIS 2 anteriores à 2.39.0.1 **Descrição** O DHIS 2 é um sistema de informação de código aberto para captura, gerenciamento, validação, análise e visualização de dados. As versões afetadas estão sujeitas a uma vulnerabilidade de escalonamento de privilégios. Um usuário do DHIS 2 com autoridade para gerenciar usuários pode atribuir privilégios de superusuário a si mesmo criando manualmente uma solicitação HTTP PUT. Apenas usuários com as autorizações da função de usuário do DHIS 2 podem explorar essa vulnerabilidade. A vulnerabilidade só pode ser explorada por invasores que consigam se autenticar como usuários com autoridade de administrador. Como esse grupo de usuários é geralmente pequeno e relativamente confiável, os vetores de exploração costumam ser limitados. **Recomendações** Para versões do DHIS 2 anteriores à 2.36.12.1, atualize para a versão 2.36.12.1. Para versões do DHIS 2 anteriores à 2.37.8.1, atualize para a versão 2.37.8.1. Para versões do DHIS 2 anteriores à 2.38.2.1, atualize para a versão 2.38.2.1. Para versões do DHIS 2 anteriores à 2.39.0.1, atualize para a versão 2.39.0.1. Como solução alternativa temporária, considere evitar a atribuição da autoridade de gerenciamento de usuários a qualquer usuário até que o patch tenha sido aplicado.

**Nome do software vulnerável e versões afetadas** Versões do DHIS2 anteriores à 2.36.12.1 Versões do DHIS2 anteriores à 2.37.8.1 Versões do DHIS2 anteriores à 2.38.2.1 Versões do DHIS2 anteriores à 2.39.0.1 **Descrição** O DHIS 2 é um sistema de informação de código aberto para captura, gerenciamento, validação, análise e visualização de dados. Nas versões afetadas, um usuário autenticado do DHIS2 pode criar uma solicitação ao DHIS2 para instruir o servidor a fazer solicitações a recursos externos, como servidores de terceiros. Isso poderia permitir que um invasor identificasse serviços vulneráveis que, de outra forma, não estariam expostos à internet pública ou determinasse se um arquivo específico está presente no servidor DHIS2. **Recomendações** Para versões anteriores à 2.36.12.1, atualize para a versão 2.36.12.1. Para versões anteriores à 2.37.8.1, atualize para a versão 2.37.8.1. Para versões anteriores à 2.38.2.1, atualize para a versão 2.38.2.1. Para versões anteriores à 2.39.0.1, atualize para a versão 2.39.0.1.

**Nome do software vulnerável e versões afetadas** Versões do DHIS2 anteriores à 2.36.10.1 e à 2.37.6.1 **Descrição** O DHIS2 é um sistema de informação para captura, gerenciamento, validação, análise e visualização de dados. Uma falha de segurança do tipo injeção de SQL afeta o endpoint da API “/api/programs/orgUnits?programs=”. O sistema está vulnerável a ataques apenas por parte de usuários que estejam conectados ao DHIS2, e não há nenhuma maneira conhecida de explorar a vulnerabilidade sem primeiro estar conectado como usuário do DHIS2. A vulnerabilidade não está exposta a usuários não mal-intencionados e requer um ataque deliberado para ser explorada. Uma exploração bem-sucedida poderia permitir que o usuário mal-intencionado lesse, editasse e apagasse dados no banco de dados da instância do DHIS2. **Recomendações** Para versões do DHIS2 anteriores à 2.36.10.1, atualize para a versão 2.36.10.1 para resolver a vulnerabilidade. Para versões do DHIS2 anteriores à 2.37.6.1, atualize para a versão 2.37.6.1 para resolver a vulnerabilidade. Como solução alternativa temporária, considere aplicar medidas de mitigação no nível do proxy da web.

**Nome do software vulnerável e versões afetadas** Versões 2.32 a 2.36 do DHIS2 **Descrição** O DHIS2 é um sistema de informação para captura, gerenciamento, validação, análise e visualização de dados. Foi detectada uma falha de segurança de injeção de SQL em versões específicas do DHIS2, afetando os pontos de extremidade da API para “/api/trackedEntityInstances” e “/api/events”. O sistema está vulnerável a ataques apenas por parte de usuários que estejam conectados ao DHIS2, e não há nenhuma maneira conhecida de explorar a falha sem primeiro estar conectado como usuário do DHIS2. Uma exploração bem-sucedida poderia permitir que o usuário mal-intencionado lesse, editasse e apagasse dados na instância do DHIS2. Não há explorações conhecidas das falhas de segurança corrigidas por essas versões de patch. **Recomendações** Para as versões 2.32 a 2.36, instale os patches o mais rápido possível para corrigir a falha. Como solução alternativa temporária para implementações que não utilizam a funcionalidade Tracker, considere bloquear todo o acesso de rede a solicitações POST para os pontos de extremidade “/api/trackedEntityInstance” e “/api/events” enquanto aguarda a atualização. Para implementações que utilizam a funcionalidade Tracker, não há nenhuma solução alternativa direta conhecida além de atualizar o servidor DHIS2 afetado para uma das versões corrigidas em que essa falha foi resolvida.

**Nome do software vulnerável e versões afetadas** Versões 2.32 a 2.36 do DHIS2 **Descrição** Uma vulnerabilidade de injeção de SQL no componente Tracker do servidor DHIS2 permite que invasores remotos autenticados executem comandos SQL arbitrários por meio de vetores não especificados, afetando os pontos de extremidade da API “/api/trackedEntityInstances” e “/api/trackedEntityInstances/query”. O sistema está vulnerável a ataques apenas por parte de usuários que estejam conectados ao DHIS2, e não há nenhuma maneira conhecida de explorar a vulnerabilidade sem primeiro estar conectado como usuário do DHIS2. Uma exploração bem-sucedida dessa vulnerabilidade poderia permitir que o usuário mal-intencionado lesse, editasse e apagasse dados na instância do DHIS2. **Recomendações** Para as versões 2.32 e 2.33, atualize para as versões mais recentes com suporte encerrado, 2.32-EOS e 2.33-EOS, respectivamente. Para as versões 2.34, 2.35 e 2.36, atualize para as versões 2.34.7, 2.35.7 e 2.36.4, respectivamente. Como solução alternativa temporária para implementações que não utilizam a funcionalidade do Tracker, considere bloquear todo o acesso de rede a solicitações POST para os endpoints “/api/trackedEntityInstances” e “/api/trackedEntityInstances/query”.