SAT CFDI 3.3 SQL-injectie (SQL Injection) via signIn-endpoint

SAT CFDI 3.3 bevat een SQL-injectie kwetsbaarheid (SQL Injection) die aanvallers in staat stelt om database queries te manipuleren door SQL-code te injecteren via de 'id' parameter in het signIn-endpoint. Aanvallers kunnen POST-verzoeken indienen met boolean-based blind, stacked queries, of time-based blind SQL-injectie (SQL Injection) payloads om gevoelige gegevens te extraheren of de applicatie te compromitteren.