CVE-2021-43851

**Nome do software vulnerável e versões afetadas:

Anuko Time Tracker versões 1.19.33.5606 e anteriores

Descrição:

O Anuko Time Tracker é um aplicativo de controle de tempo de código aberto, baseado na web e escrito em PHP. Existe uma vulnerabilidade de injeção de SQL em vários arquivos devido à verificação inadequada dos parâmetros group e status em solicitações POST. O parâmetro group é usado ao navegar entre subgrupos organizacionais no arquivo groups.php. O parâmetro status é usado em vários arquivos para alterar o status de uma entidade, como tornar um projeto, tarefa ou usuário inativo. Esta vulnerabilidade foi corrigida na versão 1.19.33.5607.

Recomendações:

Para as versões 1.19.33.5606 e anteriores, atualize para a versão 1.19.33.5607 ou posterior.

Se a atualização não for viável, introduza a função ttValidStatus conforme na versão mais recente e utilize-a nos blocos de verificação de entrada do usuário sempre que o campo status for utilizado.

Para a correção do groups.php, introduza a função ttValidInteger conforme na versão mais recente e use-a no bloco de verificação de acesso no arquivo.