Apache Fineract es una plataforma de software de código abierto utilizada principalmente para la gestión financiera en instituciones de microfinanzas. En las versiones de Apache Fineract 1.4 a 1.9, se ha identificado una vulnerabilidad de inyección SQL que afecta a varios puntos finales de su API. Esta vulnerabilidad permite a los atacantes autenticados inyectar comandos maliciosos a través de parámetros de consulta en las APIs de oficinas y otros servicios.
- CVE-2024-32838 (CVSS: 9.4): Esta vulnerabilidad permite a los atacantes autenticados ejecutar inyecciones SQL a través de los puntos finales de la API relacionados con las oficinas. A través de la inyección de datos maliciosos en los parámetros de consulta de la API, los atacantes pueden manipular las consultas SQL para obtener acceso no autorizado a datos confidenciales.
Productos y versiones afectadas:
- Apache Fineract: desde la versión 1.4 hasta la 1.9.
Solución:
- Apache Fineract: actualizar a la versión 1.10.1.
Recomendaciones:
- Actualizar a la versión 1.10.1 de Apache Fineract para corregir la vulnerabilidad.
- Implementar validadores SQL para proteger las consultas contra inyecciones SQL.
- Monitorear regularmente las APIs de su sistema para detectar actividades inusuales y posibles intentos de explotación.
Referencias:
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-32838