CVE-2022-24707

Versões do Anuko Time Tracker anteriores à 1.20.0.5642

O problema está relacionado ao plugin Time Tracker Puncher, que reutilizava código de outras fontes e dependia de um parâmetro date não sanitizado em solicitações POST. Isso permitia a criação de solicitações SQL maliciosas para o banco de dados do Time Tracker. A vulnerabilidade pode ser explorada remotamente, permitindo que um invasor execute consultas SQL arbitrárias no banco de dados do Time Tracker.

Para versões anteriores à 1.20.0.5642, atualize para a versão 1.20.0.5642 para resolver o problema.

Para usuários que não possam atualizar, adicione suas próprias verificações à entrada para mitigar o risco. Como solução alternativa temporária, considere adicionar validação ao parâmetro date em solicitações POST para impedir injeção de SQL maliciosa.