São duas as falhas encontradas no apache fineract, representadas pelo CVE-2023-25197 e CVE-2023-25196
As mesmas constituem uma vulnerabilidade de injeção de sql num produto presente no ecossistema financeiro, composto por uma série de ferramentas que incluem a gestão de dados de clientes, portfólio de poupanças e empréstimos, contabilidade, relatórios financeiros, entre outras funcionalidades. Em suma, esta versão do apache é o simbolismo do mundo dos serviços financeiros digitais.
Descrição mais técnica da falha
Presente nas chamadas de Procedimento certo, resultante da falha de sanitização imprópria do input do utilizador e nos comandos de SQL.
É mais grave a do CVE-2023-25196, já que permitia alterar ou adicionar dados em certos componentes do sistema, enquanto que a outra só permitia usar determinados comandos SQL, portanto, mais limitada que a primeira.
Versões afetadas
1.4 à 1.8.2
Versão corrigida
Atualizar para a versão 1.8.3 ou maior (link do github encontrado mais abaixo)
Validar o input e também ativar o escaping dos comandos SQL
Configurar o sistema de forma a restringir o acesso a componentes internos via ataques como SSRF (Server Side Request Forgery)
Changelog github: https://github.com/apache/fineract/releases
Site oficial do Apache Fineract: https://fineract.apache.org/
Comments