Xiaolai096

**Nome do software vulnerável e versões afetadas** Jepaas versão 7.2.8 **Descrição** Foi descoberta uma vulnerabilidade de injeção de SQL no Jepaas por meio do parâmetro `orderSQL` no endpoint da API “/homePortal/loadUserMsg”. Esse problema permite possíveis ataques de injeção de SQL. **Recomendações** Para o Jepaas versão 7.2.8, considere desativar o parâmetro `orderSQL` no endpoint da API “/homePortal/loadUserMsg” como uma solução temporária até que um patch esteja disponível. Restrinja o acesso a este endpoint para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.