OpenSTAManager: SQL Injection via Aggiornamenti Module

OpenSTAManager is open source beheersoftware voor technische assistentie en facturering. Voor versie 2.10.2 bevat de Aggiornamenti (Updates) module in OpenSTAManager een functie voor het oplossen van databaseconflicten (op=risolvi-conflitti-database) die een JSON-array van SQL-statements via POST accepteert en deze rechtstreeks uitvoert op de database zonder enige validatie, allowlist of opschoning. Een geauthenticeerde aanvaller met toegang tot de Aggiornamenti-module kan willekeurige SQL-statements uitvoeren, waaronder CREATE, DROP, ALTER, INSERT, UPDATE, DELETE, SELECT INTO OUTFILE en elk ander SQL-commando dat wordt ondersteund door de MySQL-server. Foreign key checks worden expliciet uitgeschakeld voor de uitvoering (SET FOREIGN_KEY_CHECKS=0), waardoor de database-integriteitsbescherming verder wordt verminderd. Dit probleem is verholpen in versie 2.10.2.