CVE-2021-28890

**Nome do software vulnerável e versões afetadas:

J2eeFAST versão 2.2.1

Descrição:

A vulnerabilidade permite que invasores remotos realizem ataques de injeção de SQL. Isso é possível por meio do parâmetro compId em “fast/sys/user/list”, do parâmetro deptId em “fast/sys/role/list” ou do parâmetro roleId em “fast/sys/role/authUser/list”. A vulnerabilidade está relacionada ao uso de ${} para concatenar instruções SQL.

Recomendações:

Para o J2eeFAST versão 2.2.1, considere restringir o acesso aos pontos de extremidade da API “fast/sys/user/list”, “fast/sys/role/list” e “fast/sys/role/authUser/list” para minimizar o risco de exploração. Evite usar os parâmetros compId, deptId e roleId nesses pontos de extremidade até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.