CVE-2024-12962

Nome do software vulnerável e versões afetadas:

code-projects Job Recruitment versão 1.0

Descrição:

Foi identificada uma falha crítica no sistema code-projects Job Recruitment, afetando uma funcionalidade desconhecida do arquivo / parse/ all edits.php. A manipulação do argumento skillset leva a uma injeção de SQL. Essa falha pode ser explorada remotamente. A exploração foi divulgada publicamente e pode estar em uso. Um invasor poderia obter acesso não autorizado a informações protegidas e executar código arbitrário enviando uma solicitação especialmente criada.

Recomendações:

Para o code-projects Job Recruitment versão 1.0, como solução temporária, considere desativar o script all edits.php ou restringir o acesso ao parâmetro skillset no endpoint da API afetado até que um patch esteja disponível. Evite usar o parâmetro skillset no endpoint /parse/ all edits.php até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.