CVE-2021-43608

Doctrine DBAL versões 3.x anteriores à 3.1.4

A vulnerabilidade permite injeção de SQL devido à conversão inadequada de entradas de deslocamento (offset) e comprimento (length) na geração de uma cláusula LIMIT. Isso pode ocorrer se os desenvolvedores de aplicativos passarem entradas do usuário não escapadas para o DBAL QueryBuilder ou qualquer outra API que utilize a API AbstractPlatform::modifyLimitQuery.

Para as versões 3.x do Doctrine DBAL anteriores à 3.1.4, atualize para a versão 3.1.4 ou posterior para resolver o problema. Como solução temporária, considere validar e sanitizar as entradas do usuário antes de passá-las para o DBAL QueryBuilder ou outras APIs afetadas, a fim de minimizar o risco de injeção de SQL.