PT-2025-6469 · Apache · Apache Fineract
Aleksandar Vidakovic
+1
·
Publicado
2025-02-12
·
Atualizado
2025-02-24
·
CVE-2024-32838
CVSS v4.0
9.4
Crítica
| Vetor | AV:N/AC:L/AT:N/PR:H/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X |
Nome do Software Vulnerável e Versões Afetadas
Apache Fineract versões 1.9 e anteriores
Descrição
Existe uma vulnerabilidade de injeção de SQL em vários endpoints de API, incluindo offices e dashboards, que permite a um atacante autenticado injetar dados maliciosos em alguns dos parâmetros de consulta dos endpoints de API REST. Este problema foi resolvido na versão 1.10.1, que inclui um Validador de SQL para configurar testes e verificações em consultas SQL, protegendo contra potenciais ataques de injeção de SQL.
Recomendações
Para as versões 1.9 e anteriores do Apache Fineract, atualize para a versão 1.10.1 para corrigir a vulnerabilidade de injeção de SQL.
Como solução temporária, considere restringir o acesso aos endpoints de API vulneráveis até que o problema seja resolvido.
Correção
SQL injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Apache Fineract