CVE-2021-43830

**Nome do software vulnerável e versões afetadas:

OpenProject, versões 12.0.0 a 12.0.3

Descrição:

O OpenProject é um software de gerenciamento de projetos baseado na web. O software está vulnerável a uma injeção de SQL no módulo de orçamentos. Para usuários autenticados com a permissão “Editar orçamentos”, a solicitação para reatribuir pacotes de trabalho a outro orçamento não sanitiza suficientemente a entrada do usuário no parâmetro reassign to id.

Recomendações:

Para as versões 12.0.0 a 12.0.3 do OpenProject, atualize para pelo menos a versão 12.0.4 para resolver o problema. Se não for possível atualizar em tempo hábil, considere aplicar um patch para corrigir a vulnerabilidade. Como solução alternativa temporária, considere restringir o acesso ao módulo de orçamentos para usuários com a permissão “Editar orçamentos” até que um patch seja aplicado. Evite usar o parâmetro reassign to id no endpoint da API afetado até que o problema seja resolvido.