CVE-2022-3802

Versões do go-ibax a partir dos commits de 18 de julho de 2020

Foi identificada uma falha crítica no go-ibax, que permite a injeção de SQL. Isso se deve à manipulação do argumento where no endpoint /api/v2/open/rowsInfo, que pode ser iniciada remotamente. A vulnerabilidade afeta o arquivo /packages/api/database.go e pode levar à falsificação de identidade, adulteração de dados, divulgação de todos os dados no sistema, destruição de dados ou indisponibilização de dados, além de permitir que invasores se tornem administradores do servidor de banco de dados.

Para versões a partir dos commits de 18 de julho de 2020, considere desativar o parâmetro where no endpoint /api/v2/open/rowsInfo como uma solução temporária até que um patch esteja disponível. Restrinja o acesso ao arquivo /packages/api/database.go para minimizar o risco de exploração. Evite usar o parâmetro where no endpoint da API afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.