CVE-2025-24787

Nome do Software Vulnerável e Versões Afetadas Versões do WhoDB anteriores a 0.45.0

Descrição O aplicativo é vulnerável à injeção de parâmetros em strings de conexão de banco de dados, permitindo que um atacante leia arquivos locais na máquina na qual o aplicativo está em execução. Isso ocorre devido ao uso de concatenação de strings para construir URIs de conexão de banco de dados sem aplicar escape ou codificação na entrada do usuário, possibilitando que usuários injetem parâmetros arbitrários na string URI. Um desses parâmetros é allowAllFiles na biblioteca github.com/go-sql-driver/mysql, que, se definido como true, permite a execução da consulta LOAD DATA LOCAL INFILE em qualquer arquivo na máquina hospedeira. Ao injetar &allowAllFiles=true na URI de conexão e conectar-se a qualquer servidor MySQL, um atacante pode ler arquivos locais.

Recomendações Para versões do WhoDB anteriores a 0.45.0, atualize para a versão 0.45.0 para corrigir o problema. Como medida de contorno temporária, considere restringir o acesso à biblioteca github.com/go-sql-driver/mysql ou evitar o uso do parâmetro allowAllFiles na string de conexão do banco de dados até que o problema seja resolvido.