CVE-2026-46624

Nome do Software Vulnerável e Versões Afetadas Twenty CRM versões 1.7.7 até 1.16.7

Descrição Um problema de Execução Remota de Código (RCE) existe por meio de um ataque encadeado de SQL Injection e PostgreSQL COPY TO PROGRAM. Se o usuário do Postgres for um superusuário, qualquer usuário autenticado pode executar comandos arbitrários do sistema operacional no servidor de banco de dados. Isso ocorre porque o parâmetro timeZone no endpoint 'groupBy' da API REST é interpolado diretamente em uma expressão SQL bruta usando literais de modelo JavaScript, sem parametrização, validação ou escape. Isso afeta a função get-group-by-expression.util.ts.

Recomendações Para as versões 1.7.7 até 1.16.7, atualize o software para uma versão onde o parâmetro timeZone seja devidamente sanitizado. Como medida paliativa temporária, restrinja as permissões do usuário do banco de dados para garantir que o usuário Postgres não seja um superusuário, evitando assim a execução de comandos do sistema operacional.