CVE-2024-12967

Nome do software vulnerável e versões afetadas:

Job Recruitment versão 1.0

Descrição:

Foi identificada uma vulnerabilidade crítica na função fln update() do arquivo / parse/ all edits.php. O problema está relacionado à falta de neutralização de caracteres especiais durante o processamento dos parâmetros fname e lname, o que leva a uma injeção de SQL. Isso pode permitir que um invasor remoto obtenha acesso não autorizado a informações protegidas e execute código arbitrário enviando uma solicitação especialmente criada. A exploração foi divulgada ao público e pode estar em uso.

Recomendações:

Para o Job Recruitment versão 1.0, como solução temporária, considere desativar a função fln update() até que um patch esteja disponível. Restrinja o acesso ao arquivo all edits.php para minimizar o risco de exploração. Evite usar os parâmetros fname e lname no endpoint da API afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.