OpenSTAManager: Injeção SQL Cega Baseada em Tempo via Parâmetro `options[stato]`

OpenSTAManager é um software de gestão de código aberto para assistência técnica e faturação. Anterior à versão 2.10.2, vários manipuladores de seleção AJAX no OpenSTAManager são vulneráveis à Injeção SQL Cega Baseada em Tempo através do parâmetro GET options[stato]. O valor fornecido pelo utilizador é lido de $superselect['stato'] e concatenado diretamente em cláusulas SQL WHERE como uma expressão simples, sem qualquer higienização, parametrização ou validação de lista de permissões (allowlist). Um atacante autenticado pode injetar instruções SQL arbitrárias para extrair dados confidenciais da base de dados, incluindo nomes de utilizador, hashes de palavras-passe, registos financeiros e qualquer outra informação armazenada na base de dados MySQL. Este problema foi corrigido na versão 2.10.2.