São duas as falhas encontradas no apache fineract, representadas pelo CVE-2023-25197 e CVE-2023-25196

As mesmas constituem uma vulnerabilidade de injeção de sql num produto presente no ecossistema financeiro, composto por uma série de ferramentas que incluem a gestão de dados de clientes, portfólio de poupanças e empréstimos, contabilidade, relatórios financeiros, entre outras funcionalidades. Em suma, esta versão do apache é o simbolismo do mundo dos serviços financeiros digitais.

Descrição mais técnica da falha

Presente nas chamadas de Procedimento certo, resultante da falha de sanitização imprópria do input do utilizador e nos comandos de SQL.

É mais grave a do CVE-2023-25196, já que permitia alterar ou adicionar dados em certos componentes do sistema, enquanto que a outra só permitia usar determinados comandos SQL, portanto, mais limitada que a primeira.

Versões afetadas

1.4 à 1.8.2

Versão corrigida

Atualizar para a versão 1.8.3 ou maior (link do github encontrado mais abaixo)

Validar o input e também ativar o escaping dos comandos SQL

Configurar o sistema de forma a restringir o acesso a componentes internos via ataques como SSRF (Server Side Request Forgery)

Changelog github: https://github.com/apache/fineract/releases

Site oficial do Apache Fineract: https://fineract.apache.org/