01. DADOS GERAIS
| Produto: | TOTVS Saúde Planos
|
|---|---|
| Linha de Produto: | Linha Protheus |
| Segmento: | Saude |
| Módulo: | PROCEDIMENTO |
| Função: | CLASSES DE PROCEDIMENTOS |
| Ticket: | |
| Issue: | DSAUBE-28679 |
02. SITUAÇÃO/REQUISITO
Foi identificada uma vulnerabilidade do tipo SQL Injection (boolean-based blind) em uma requisição autenticada, explorada através de uma requisição GET ao endpoint: /totvsHealthPlans/procedure/v1/classes/{id}/procedures
03. SOLUÇÃO
Foi ajustada a rotina de busca ao banco SQL para utilização de bind parameters por meio da classe FwExecStatement, garantindo a parametrização segura das consultas e prevenindo a exploração da vulnerabilidade de SQL Injection.
04. DEMAIS INFORMAÇÕES
Não se aplica
05. ASSUNTOS RELACIONADOS
Não se aplica
Visão Geral
Import HTML Content
Conteúdo das Ferramentas
Tarefas