PT-2021-19870 · Dhis2 · Dhis2
Publicado
2021-06-24
·
Atualizado
2021-07-08
·
CVE-2021-32704
CVSS v3.1
8.8
Alta
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões 2.34.4, 2.35.2, 2.35.3, 2.35.4 e 2.36.0 do DHIS2
Descrição
Foi detectada uma falha de segurança de injeção de SQL no DHIS2, afetando o endpoint da API “/api/trackedEntityInstances”. Essa falha pode ser explorada por usuários conectados, permitindo-lhes ler, editar e excluir dados na instância do DHIS2. Não há exploits conhecidos para essa falha, mas recomenda-se que todas as implementações do DHIS2 que utilizam as versões afetadas instalem os patches o mais rápido possível.
Recomendações
Para as versões 2.34.4, 2.35.2, 2.35.3, 2.35.4 e 2.36.0, atualize o servidor DHIS2 afetado para uma versão corrigida.
Para implementações que utilizam a funcionalidade Tracker, não há nenhuma solução alternativa conhecida além da atualização.
Para implementações que não utilizam a funcionalidade Tracker, considere bloquear todo o acesso de rede a solicitações POST para o endpoint “/api/trackedEntityInstances” como uma solução alternativa temporária enquanto aguarda a atualização.
Correção
SQL injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Dhis2