[SEGURANÇA] GPWEB 8.4.61 Múltiplas Falhas: SQLi, Manipulação de Privilégios, Uploads sem Restrições, Exposição de Informação Sensível
Em outubro deste ano (2017), resolvi iniciar um projeto na área de pesquisa em segurança da informação. Selecionei vários softwares hospedados no repositório https://softwarepublico.gov.br, a fim de dar minha contribuição à comunidade encontrando possíveis falhas de segurança nos projetos disponibilizados publicamente. O primeiro deles, foco desta publicação, é o GPWEB 8.4.61, sendo esta a última versão disponível desde outubro de 2016. CVEs relacionados a estas descobertas: CVE-2017-15875, CVE-2017-15876 e CVE-2017-15877 . Segue abaixo o propósito do software segundo o fabricante: O software gpweb entrega gestão estratégica...