PT-2021-23454 · Unknown · Recruitment Management System
Nu11Secur1Ty
·
Publicado
2021-11-17
·
Atualizado
2021-11-18
·
CVE-2021-41931
CVSS v2.0
7.5
Alta
| Vetor | AV:N/AC:L/Au:N/C:P/I:P/A:P |
Nome do software vulnerável e versões afetadas
Sistema de Gestão de Recrutamento da Empresa (versões afetadas não especificadas)
Descrição
O Sistema de Gestão de Recrutamento parece estar vulnerável a injeção de SQL. Esse problema está relacionado ao parâmetro
id na página do aplicativo view vacancy. Quando cargas específicas, como 19424269 ou ‘1309’='1309 e 39476597 ou ‘2917’='2923, são enviadas no parâmetro id, respostas diferentes são geradas, indicando que a entrada está sendo incorporada a uma consulta SQL de forma insegura. O parâmetro id é vulnerável, conforme evidenciado pelas respostas variáveis às cargas enviadas.Recomendações
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Exploit
SQL injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Recruitment Management System