CVE-2024-12966

Nome do software vulnerável e versões afetadas:

code-projects Job Recruitment versão 1.0

Descrição:

Uma falha crítica afeta a função cn update do arquivo / parse/ all edits.php. A manipulação dos argumentos cname e url leva a uma injeção de SQL. O ataque pode ser iniciado remotamente. A exploração foi divulgada ao público e pode estar em uso. Esta vulnerabilidade está relacionada à falha na neutralização de elementos especiais durante o processamento dos parâmetros urle e cname, permitindo que um invasor obtenha acesso não autorizado a informações protegidas e execute código arbitrário por meio do envio de uma solicitação especialmente criada.

Recomendações:

Como solução temporária, considere desativar a função cn update() até que um patch esteja disponível. Restrinja o acesso ao arquivo all edits.php para minimizar o risco de exploração. Evite usar os argumentos cname e url na função afetada até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.