CVE-2025-22954

Nome do Software Vulnerável e Versões Afetadas Versões do Koha anteriores a 24.11.02

Descrição A falha permite injeção de SQL em /serials/lateissues-export.pl via o parâmetro supplierid ou serialid. Isso pode permitir que atacantes acessem dados sensíveis, alterem registros ou excluam bancos de dados completamente. Um atacante remoto sem privilégios pode causar execução remota de código. Estima-se que mais de 39.000 resultados sejam encontrados como potencialmente vulneráveis.

Recomendações Para versões anteriores a 24.11.02, atualize para a versão 24.11.02 ou posterior para proteger dados sensíveis. Como solução temporária, considere restringir o acesso ao endpoint /serials/lateissues-export.pl até que uma correção esteja disponível. Evite utilizar os parâmetros supplierid ou serialid no endpoint da API afetado até que o problema seja resolvido.