OpenSTAManager: Injeção SQL (SQL Injection) via Módulo Aggiornamenti

OpenSTAManager é um software de gestão de código aberto para assistência técnica e faturação. Anterior à versão 2.10.2, o módulo Aggiornamenti (Atualizações) no OpenSTAManager contém um recurso de resolução de conflitos de base de dados (op=risolvi-conflitti-database) que aceita um array JSON de instruções SQL via POST e as executa diretamente contra a base de dados sem qualquer validação, lista de permissões ou sanitização. Um atacante autenticado com acesso ao módulo Aggiornamenti pode executar instruções SQL arbitrárias, incluindo CREATE, DROP, ALTER, INSERT, UPDATE, DELETE, SELECT INTO OUTFILE e qualquer outro comando SQL suportado pelo servidor MySQL. As verificações de chave estrangeira são explicitamente desativadas antes da execução (SET FOREIGN_KEY_CHECKS=0), reduzindo ainda mais as proteções de integridade da base de dados. Este problema foi corrigido na versão 2.10.2.