R1Ch4Rd_L

Nome do Software Vulnerável e Versões Afetadas: Fanwei e-cology versões 8.0 e anteriores Descrição: Existe uma vulnerabilidade de injeção de SQL, permitindo que atacantes não autenticados executem consultas SQL arbitrárias através do endpoint "getdata.jsp". A aplicação passa entrada de usuário não sanitizada do parâmetro `sql` para uma consulta de banco de dados dentro do método `getSelectAllIds(sql, type)`, que é acessível através do fluxo `cmd=getSelectAllId` no AjaxManager. Isso poderia potencialmente expor dados sensíveis, como hashes de senha de administrador. Recomendações: Para as versões 8.0 e anteriores do Fanwei e-cology, considere desabilitar o método `getSelectAllIds(sql, type)` ou restringir o acesso ao endpoint "getdata.jsp" até que um patch esteja disponível. Adicionalmente, evite usar o parâmetro `sql` no endpoint afetado para minimizar o risco de exploração.