Hijackedamygdala

**Nome do Software Vulnerável e Versões Afetadas** HireFlow versão 1.2 **Descrição** Ocorre injeção de SQL porque a entrada fornecida pelo usuário é concatenada diretamente em consultas SQL sem a devida parametrização. Um invasor não autenticado pode ignorar a autenticação ou extrair todo o conteúdo do banco de dados, incluindo credenciais de usuário, por meio de injeção baseada em UNION. Os endpoints afetados são "/login" e "/search". **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** HireFlow versão 1.2 **Descrição** O Controle de Acesso Incorreto permite que usuários autenticados realizem escalada de privilégios horizontal. A aplicação não aplica a autorização em nível de objeto nos endpoints "/candidate/<id>" e "/interview/<id>". Os manipuladores de rota recuperam registros usando o `id` fornecido pelo usuário sem verificar se o solicitante é o proprietário ou possui uma função autorizada, podendo levar a uma violação total de dados de todos os perfis de candidatos e notas de entrevista. **Recomendações** Implementar verificações de autorização em nível de objeto para os endpoints "/candidate/<id>" e "/interview/<id>" para garantir que os usuários acessem apenas os registros que têm permissão para visualizar.

**Nome do Software Vulnerável e Versões Afetadas** HireFlow versão 1.2 **Descrição** Ocorre Cross Site Scripting (XSS) em candidate detail.html. O problema é acionado através dos campos 'Resume' ou 'Feedback Comment' por meio dos endpoints "/candidates/add" e "/feedback/add". XSS é uma falha que permite a um invasor injetar scripts maliciosos em páginas web visualizadas por outros usuários. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.