Yohaan Guzdar

**Nome do Software Vulnerável e Versões Afetadas** HireFlow versão 1.2 **Descrição** O software não implementa a validação de tokens Cross-Site Request Forgery (CSRF) em endpoints POST que alteram o estado. Isso permite que um invasor engane um usuário autenticado para visitar uma página maliciosa e realizar ações não autorizadas, como alterar senhas, excluir registros ou injetar dados arbitrários. O atributo `SESSION COOKIE SAMESITE` também não está configurado, removendo as defesas de CSRF a nível de navegador. Os endpoints afetados incluem: - '/profile' (alteração de senha) - '/candidates/delete/<id>' (exclusão de candidato) - '/feedback/add/<id>' (envio de feedback) - '/interviews/add' (agendamento de entrevista) **Recomendações** Implementar a validação de tokens CSRF para todos os endpoints POST que alteram o estado. Configurar o atributo `SESSION COOKIE SAMESITE` para habilitar a proteção CSRF a nível de navegador.