CVE-2021-41187

Versões 2.32 a 2.36 do DHIS2

O DHIS2 é um sistema de informação para captura, gerenciamento, validação, análise e visualização de dados. Foi detectada uma falha de segurança de injeção de SQL em versões específicas do DHIS2, afetando os pontos de extremidade da API para “/api/trackedEntityInstances” e “/api/events”. O sistema está vulnerável a ataques apenas por parte de usuários que estejam conectados ao DHIS2, e não há nenhuma maneira conhecida de explorar a falha sem primeiro estar conectado como usuário do DHIS2. Uma exploração bem-sucedida poderia permitir que o usuário mal-intencionado lesse, editasse e apagasse dados na instância do DHIS2. Não há explorações conhecidas das falhas de segurança corrigidas por essas versões de patch.

Para as versões 2.32 a 2.36, instale os patches o mais rápido possível para corrigir a falha.

Como solução alternativa temporária para implementações que não utilizam a funcionalidade Tracker, considere bloquear todo o acesso de rede a solicitações POST para os pontos de extremidade “/api/trackedEntityInstance” e “/api/events” enquanto aguarda a atualização.

Para implementações que utilizam a funcionalidade Tracker, não há nenhuma solução alternativa direta conhecida além de atualizar o servidor DHIS2 afetado para uma das versões corrigidas em que essa falha foi resolvida.