CVE-2024-54361

Nome do software vulnerável e versões afetadas:

Versões do Outstrip Instant Appointment de n/a a 1.2

Descrição:

A vulnerabilidade está relacionada à neutralização inadequada de caracteres especiais utilizados em um comando SQL, o que permite a injeção de SQL. Isso pode ser explorado por meio de pontos de extremidade (endpoints) da API, embora não sejam mencionados pontos de extremidade específicos. Parâmetros ou variáveis vulneráveis, como username ou password, não são explicitamente especificados. A vulnerabilidade não menciona nomes de funções específicas, como checkPassword() ou processTransaction(), que estejam vulneráveis. Não há informações sobre o número estimado de dispositivos potencialmente afetados em todo o mundo nem detalhes sobre incidentes reais em que essa vulnerabilidade tenha sido explorada.

Recomendações:

Para as versões n/a a 1.2, atualize para uma versão que inclua uma correção para este problema, embora a versão corrigida específica não seja fornecida. Como solução alternativa temporária, considere restringir o acesso a comandos SQL ou desativar quaisquer recursos que possam estar usando comandos SQL até que um patch esteja disponível. Evite usar dados inseridos pelo usuário em comandos SQL até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.