OpenSTAManager: Aggiornamenti मॉड्यूल के माध्यम से SQL इंजेक्शन (SQL Injection)

OpenSTAManager तकनीकी सहायता और चालान के लिए एक ओपन सोर्स प्रबंधन सॉफ्टवेयर है। संस्करण 2.10.2 से पहले, OpenSTAManager में Aggiornamenti (अपडेट) मॉड्यूल में एक डेटाबेस संघर्ष समाधान सुविधा (op=risolvi-conflitti-database) है जो POST के माध्यम से SQL कथनों की एक JSON सरणी स्वीकार करता है और बिना किसी सत्यापन, अनुमति सूची या सैनिटाइजेशन के सीधे डेटाबेस के विरुद्ध उन्हें निष्पादित करता है। Aggiornamenti मॉड्यूल तक पहुंच वाला एक प्रमाणित हमलावर मनमाना SQL कथन निष्पादित कर सकता है जिसमें CREATE, DROP, ALTER, INSERT, UPDATE, DELETE, SELECT INTO OUTFILE और MySQL सर्वर द्वारा समर्थित कोई अन्य SQL कमांड शामिल है। निष्पादन से पहले विदेशी कुंजी जांच स्पष्ट रूप से अक्षम कर दी जाती है (SET FOREIGN_KEY_CHECKS=0), जिससे डेटाबेस अखंडता सुरक्षा और कम हो जाती है। इस समस्या को संस्करण 2.10.2 में ठीक कर दिया गया है।