Sohel Yousef

**Nome do Software Vulnerável e Versões Afetadas** Xhibiter NFT Marketplace versão 1.10.2 **Descrição** O software Xhibiter NFT Marketplace apresenta uma vulnerabilidade de injeção de SQL no endpoint collections. Um atacante pode manipular consultas ao banco de dados utilizando o parâmetro `id`. Técnicas de injeção de SQL baseadas em booleanos, baseadas em tempo e baseadas em UNION podem ser utilizadas para extrair ou manipular informações do banco de dados mediante o envio de payloads elaborados para a página collections. O endpoint da API afetado é '/collections'. O parâmetro vulnerável é `id`. **Recomendações** Aplique uma correção para sanitizar o parâmetro `id` no endpoint collections a fim de prevenir injeção de SQL. Como medida paliativa temporária, restrinja o acesso ao endpoint collections para minimizar o risco de exploração.