js · dbgate-apiCrítico
dbgate-api: Injeção de código arbitrário no endpoint POST /runners/load-reader
O endpoint POST /runners/load-reader em DbGate interpola diretamente o parâmetro functionName em um template de código JavaScript sem sanitização, permitindo execução arbitrária de código via process.
O que mudou
O endpoint POST /runners/load-reader em DbGate interpola diretamente o parâmetro functionName em um template de código JavaScript sem sanitização, permitindo execução arbitrária de código via process.binding("spawn_sync").
Quem isso afeta
Todas as instâncias do servidor DbGate com usuários autenticados (acesso básico, sem permissões especiais).
O que fazer hoje
Aplique o patch do fornecedor ou desabilite o endpoint /runners/load-reader até que uma correção seja implantada.
A esteira
Coletado→
Auditado→
Redigido→
Publicado