Timhaines

**Nome do Software Vulnerável e Versões Afetadas** Chatwoot versões 2.2.0 até 4.11.1 **Descrição** Existe um problema nas APIs de filtro de conversas e contatos onde valores fornecidos pelo usuário no campo `values` do payload de filtro são interpolados diretamente em consultas SQL sem parametrização ao filtrar por atributos personalizados do tipo data ou número usando os operadores `is greater than` ou `is less than`. Isso permite que um usuário autenticado com acesso à conta execute SQL arbitrário via injeção cega baseada em tempo. Os endpoints afetados incluem '/api/v1/accounts/{account id}/conversations/filter', '/api/v1/accounts/{account id}/contacts/filter' e '/api/v1/accounts/{account id}/custom attribute definitions'. **Recomendações** Atualizar para a versão 4.11.2.