CVE-2024-8749

Nome do software vulnerável e versões afetadas:

idoit pro versão 28

Descrição:

O problema é uma vulnerabilidade de injeção de SQL que poderia permitir que um invasor enviasse uma consulta especialmente criada para o parâmetro ID em /var/www/html/src/classes/modules/api/model/cmdb/isys api model cmdb objects by relation.class.php e recuperasse todas as informações armazenadas no banco de dados. Essa vulnerabilidade poderia ser explorada remotamente.

Recomendações:

Para o idoit pro versão 28, atualize o software para uma versão que inclua uma correção para este problema. Como solução temporária, considere restringir o acesso ao endpoint da API vulnerável /var/www/html/src/classes/modules/api/model/cmdb/isys api model cmdb objects by relation.class.php para minimizar o risco de exploração. Evite usar o parâmetro ID no endpoint da API afetado até que o problema seja resolvido.