Injeção SQL de Segunda Ordem Focalboard no endpoint de reordenação de categoria permite exfiltração de dados (produto não suportado, sem correção)

** NÃO SUPORTADO QUANDO ATRIBUÍDO ** A versão 8.0 do Focalboard não consegue higienizar os IDs de categoria antes de incorporá-los em instruções SQL dinâmicas ao reordenar as categorias. Um invasor pode injetar um payload SQL malicioso no campo de ID da categoria, que é armazenado no banco de dados e posteriormente executado sem higienização quando a API de reordenação de categoria processa o valor armazenado. Esta Injeção SQL de Segunda Ordem (Blind Baseado em Tempo) permite que um invasor autenticado exfiltre dados confidenciais, incluindo hashes de senha de outros usuários. NOTA: O Focalboard como um produto independente não é mantido e nenhuma correção será emitida.