Segurança: SQL Injection no SQL Server “LIMIT” / “OFFSET”

Data:
...

Hoje lançamos patches de segurança via Laravel 6.20.26 e 8.40.0. Esses patches resolvem uma vulnerabilidade de segurança que permitia a injeção de SQL quando a entrada não filtrada do usuário era passada diretamente para os métodos limitoffsetdo construtor de consultas Laravel e o usuário também estava usando o Microsoft SQL Server como seu banco de dados.

Outros drivers de banco de dados, como MySQL e Postgres, não parecem ser afetados por esse problema no momento.

Todos os usuários do Laravel são encorajados a atualizar imediatamente ou, se você não puder atualizar para essas versões, certifique-se de que está apenas passando números inteiros para os métodos limitoffset.

Esta vulnerabilidade de segurança foi publicada como um comunicado de segurança do GitHub: https://github.com/laravel/framework/security/advisories/GHSA-4mg9-vhxq-vm7j

Iniciar conversa
Atendimento via WhatsApp
Agência Kairós
Olá! 😀
Se precisar de ajuda, entre em contato conosco via WhatsApp