Farish

**Nome do software vulnerável e versões afetadas** SourceCodester Engineers Online Portal versão 1.0 **Descrição** O problema está relacionado à falta de proteção da estrutura da consulta SQL no componente /admin/ do recurso de login de administrador. Isso permite que um invasor remoto execute consultas SQL arbitrárias manipulando os argumentos `username` e `password`, levando a uma injeção de SQL. O ataque pode ser lançado remotamente. **Recomendações** Para a versão 1.0, considere desativar o recurso de Login de Administrador até que um patch esteja disponível para impedir a exploração. Restrinja o acesso ao componente /admin/ para minimizar o risco de exploração. Evite usar os argumentos `username` e `password` no endpoint da API afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Name of the Vulnerable Software and Affected Versions** SourceCodester Engineers Online Portal version 1.0 **Description** A vulnerability was found in the component Add Engineer Handler of the SourceCodester Engineers Online Portal. The manipulation of the argument `first name/last name` with the input `<script>alert(0)</script>` leads to cross site scripting. The attack may be launched remotely. The exploit has been disclosed to the public and may be used. **Recommendations** For SourceCodester Engineers Online Portal version 1.0, consider disabling the `Add Engineer Handler` component until a patch is available. Restrict access to the `first name/last name` argument to minimize the risk of exploitation. At the moment, there is no information about a newer version that contains a fix for this vulnerability.