CVE-2024-35182

Versões do Meshery anteriores à 0.7.22

Uma vulnerabilidade de injeção de SQL pode levar à gravação arbitrária de arquivos por meio do uso de uma carga de consultas empilhadas de injeção de SQL e do comando ATTACH DATABASE. Os invasores podem acessar e modificar quaisquer dados armazenados no banco de dados, como perfis de desempenho, dados do aplicativo Meshery ou qualquer configuração do Kubernetes adicionada ao sistema. O projeto Meshery expõe a função GetAllEvents no endpoint da API “/api/v2/events”. O parâmetro de consulta sort, lido em events streamer.go, é usado diretamente para construir uma consulta SQL em events persister.go.

Para versões anteriores à 0.7.22, atualize para a versão 0.7.22 ou posterior, que corrige esse problema usando a função SanitizeOrderInput. Como solução alternativa temporária, considere restringir o acesso ao endpoint da API /api/v2/events até que o problema seja resolvido. Evite usar o parâmetro de consulta sort no endpoint da API afetado até que o problema seja resolvido.