CVE-2026-44349

Nome do Software Vulnerável e Versões Afetadas Daptin versões anteriores a 0.11.5

Descrição Existe um problema na função processFuzzySearch em server/resource/resource findallpaginated.go onde o software não valida o parâmetro column contra uma lista de permissões (whitelist). Ao utilizar o endpoint 'GET /api/' com o parâmetro operator definido como fuzzy, fuzzy any ou fuzzy all, o valor de column fornecido pelo usuário é dividido por vírgulas e interpolado diretamente em consultas SQL brutas. Isso permite que qualquer usuário autenticado, incluindo aqueles que se registraram autonomamente, realize injeção de SQL do tipo boolean-blind para ler todo o banco de dados.

Detalhes técnicos sobre a exploração incluem:

Dependendo do driver do banco de dados, a injeção pode exigir valores específicos de fuzzy options.fallback mode para PostgreSQL, MySQL ou MSSQL, enquanto o SQLite é vulnerável por padrão.

Recomendações Atualize para a versão 0.11.5. Como medida paliativa temporária, restrinja o acesso ao endpoint 'GET /api/' ou evite o uso dos operadores fuzzy, fuzzy any e fuzzy all até que a atualização seja aplicada.