Vulnerabilidad en Meshery (CVE-2024-35182)

Meshery es un administrador nativo de la nube de código abierto que permite el diseño y la administración de infraestructura y aplicaciones basadas en Kubernetes. Una vulnerabilidad de inyección SQL en Meshery anterior a la versión 0.7.22 puede provocar la escritura arbitraria de archivos mediante un payload de consultas apiladas de inyección SQL y el comando ATTACH DATABASE. Además, los atacantes pueden acceder y modificar cualquier dato almacenado en la base de datos, como perfiles de rendimiento (que pueden contener cookies de sesión), datos de la aplicación Meshery o cualquier configuración de Kubernetes agregada al sistema. El proyecto Meshery expone la función `GetAllEvents` en la URL de API `/api/v2/events`. El parámetro de consulta de clasificación leído en `events_streamer.go` se usa directamente para crear una consulta SQL en `events_persister.go`. La versión 0.7.22 soluciona este problema mediante el uso de la función `SanitizeOrderInput`.