CVE-2021-39179

Versões 2.32 a 2.36 do DHIS2

Uma vulnerabilidade de injeção de SQL no componente Tracker do servidor DHIS2 permite que invasores remotos autenticados executem comandos SQL arbitrários por meio de vetores não especificados, afetando os pontos de extremidade da API “/api/trackedEntityInstances” e “/api/trackedEntityInstances/query”. O sistema está vulnerável a ataques apenas por parte de usuários que estejam conectados ao DHIS2, e não há nenhuma maneira conhecida de explorar a vulnerabilidade sem primeiro estar conectado como usuário do DHIS2. Uma exploração bem-sucedida dessa vulnerabilidade poderia permitir que o usuário mal-intencionado lesse, editasse e apagasse dados na instância do DHIS2.

Para as versões 2.32 e 2.33, atualize para as versões mais recentes com suporte encerrado, 2.32-EOS e 2.33-EOS, respectivamente.

Para as versões 2.34, 2.35 e 2.36, atualize para as versões 2.34.7, 2.35.7 e 2.36.4, respectivamente.

Como solução alternativa temporária para implementações que não utilizam a funcionalidade do Tracker, considere bloquear todo o acesso de rede a solicitações POST para os endpoints “/api/trackedEntityInstances” e “/api/trackedEntityInstances/query”.