CVE-2026-24416

Nome do Software Vulnerável e Versões Afetadas OpenSTAManager versões 2.9.8 e anteriores

Descrição O OpenSTAManager contém uma vulnerabilidade crítica de Injeção de SQL Cega Baseada em Tempo no manipulador de conclusão de preços de artigos. A aplicação não sanitiza corretamente o parâmetro idarticolo antes de usá-lo em consultas SQL, permitindo que atacantes injetem comandos SQL arbitrários e extraiam dados sensíveis através de inferência Booleana baseada em tempo. A vulnerabilidade existe no arquivo /ajax complete.php, especificamente no módulo /modules/articoli/ajax/complete.php. O parâmetro vulnerável é idarticolo dentro da requisição GET para o endpoint /ajax complete.php?op=getprezzi. A vulnerabilidade permite que atacantes autenticados extraiam o conteúdo completo do banco de dados, incluindo credenciais de usuário, dados de clientes e registros financeiros. Uma prova de conceito (PoC) demonstra a extração do nome do banco de dados, nome de usuário administrador e hash da senha. A causa raiz é o uso inconsistente da função prepare(), que é usada para sanitizar o parâmetro idanagrafica, mas não o parâmetro idarticolo.

Recomendações Aplique a correção ao arquivo /modules/articoli/ajax/complete.php. Substitua o código vulnerável pela versão corrigida, garantindo que o parâmetro idarticolo seja devidamente sanitizado usando a função prepare() antes de ser usado em consultas SQL.