DbGate-serve: RCE via injeção de código no endpoint /runners/start

O endpoint POST /runners/start do DbGate permite execução remota de código via injeção no parâmetro functionName de comandos assign. O valor de functionName é interpolado diretamente em código JavaScript gerado dinamicamente por concatenação de strings e executado em um processo filho Node.js.

Todas as implantações do DbGate, especialmente aquelas com autenticação anônima (padrão) ou qualquer usuário com acesso à API.

Atualize para a versão 7.1.9 ou superior imediatamente. Se não for possível atualizar, habilite a autenticação e restrinja o acesso ao endpoint /runners/start.