Xiaozhicaio

**Nome do software vulnerável e versões afetadas** Versões do dotCMS anteriores à 20.10.1 **Descrição** A vulnerabilidade permite injeção de SQL, conforme demonstrado pelo endpoint “/api/v1/containers” com o parâmetro `orderby`. As classes PaginatorOrdered utilizadas para paginar resultados de endpoints REST não sanitizam o parâmetro `orderby`, tornando-o vulnerável a ataques de injeção de SQL em alguns casos. Um usuário deve ser um gerente autenticado no sistema dotCMS para explorar essa vulnerabilidade. **Recomendações** Para versões anteriores à 20.10.1, atualize para a versão 20.10.1 ou posterior para resolver a vulnerabilidade. Como solução alternativa temporária, considere restringir o acesso ao endpoint `/api/v1/containers` ou sanitizar o parâmetro `orderby` para minimizar o risco de exploração.