CVE-2024-8150

Nome do software vulnerável e versões afetadas:

ContiNew Admin versão 3.2.0

Descrição:

Foi detectada uma falha crítica no ContiNew Admin, afetando a função top.continew.starter.extension.crud.controller.BaseController#page do arquivo /api/system/user?deptId=1&page=1&size=10. A manipulação do argumento sort leva à injeção de SQL. O ataque pode ser lançado remotamente. A exploração foi divulgada ao público e pode estar em uso. O fornecedor foi contatado antecipadamente sobre essa divulgação, mas não respondeu de forma alguma.

Recomendações:

Como solução temporária, considere desativar a função top.continew.starter.extension.crud.controller.BaseController#page até que um patch esteja disponível. Restrinja o acesso ao endpoint /api/system/user para minimizar o risco de exploração. Evite usar o argumento sort no endpoint da API afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.