Wwallace

**Nome do Software Vulnerável e Versões Afetadas** Metacat versões 2.0.0 até 2.x **Descrição** O Metacat contém uma injeção de SQL não autenticada no endpoint '/harvesterRegistration'. A função `dbInsert()` em `HarvesterRegistration` constrói uma instrução INSERT para a tabela HARVEST SITE SCHEDULE usando concatenação de strings. Ela utiliza um auxiliar `quoteString()` que envolve a entrada em aspas simples sem a devida filtragem. Os parâmetros vulneráveis são `unit`, `contactEmail` e `documentListURL`. Como o servlet não verifica a identidade LDAP e o backend PostgreSQL permite consultas empilhadas via `executeUpdate()`, um invasor pode obter acesso total de leitura, gravação e execução no contexto do banco de dados. **Recomendações** Atualize para a versão 3.0.0. Como medida paliativa temporária, restrinja o acesso ao endpoint '/harvesterRegistration' para minimizar o risco de exploração.