CVE-2026-24418

Nome do Software Vulnerável e Versões Afetadas OpenSTAManager versões 2.9.8 e anteriores

Descrição O OpenSTAManager apresenta uma vulnerabilidade crítica de Injeção SQL baseada em erros no manipulador de operações em massa do módulo Scadenzario (Agenda de Pagamentos). O aplicativo não valida adequadamente se os elementos dentro do array id records são inteiros antes de utilizá-los em uma cláusula SQL IN(). Isso permite que atacantes injetem comandos SQL arbitrários e extraiam dados sensíveis por meio de mensagens de erro XPath. O parâmetro vulnerável é id records[] e é acessível por meio do endpoint da API /actions.php?id module=18. A vulnerabilidade decorre da falha do aplicativo em validar os tipos de entrada, permitindo especificamente que valores não inteiros dentro do array id records sejam concatenados diretamente em uma consulta SQL sem sanitização adequada. Isso possibilita que atacantes manipulem a consulta SQL e extraiam dados, incluindo credenciais de usuário, informações de identificação pessoal (PII) de clientes e registros financeiros.

Recomendações Versões anteriores à 2.9.8 devem implementar validação de tipo no array id records. Especificamente, utilize array map('intval', $id records) para converter todos os elementos do array em inteiros e array filter para remover quaisquer IDs não positivos antes de utilizá-los na consulta SQL.