OpenSTAManager: Time-Based Blind SQL Injection via `options[stato]` Parameter

OpenSTAManager is open source beheersoftware voor technische assistentie en facturering. Voor versie 2.10.2 zijn meerdere AJAX-select handlers in OpenSTAManager kwetsbaar voor Time-Based Blind SQL Injection (SQL-injectie) via de options[stato] GET-parameter. De door de gebruiker geleverde waarde wordt gelezen van $superselect['stato'] en rechtstreeks samengevoegd in SQL WHERE-clausules als een kale expressie, zonder enige opschoning, parametrisering of validatie van de toegestane waarden. Een geauthenticeerde aanvaller kan willekeurige SQL-statements injecteren om gevoelige gegevens uit de database te extraheren, waaronder gebruikersnamen, wachtwoordhashes, financiële gegevens en alle andere informatie die is opgeslagen in de MySQL-database. Dit probleem is verholpen in versie 2.10.2.