CVE-2024-12965

Nome do software vulnerável e versões afetadas:

Sistema de Gerenciamento de Portfólio 1000 Projects, versão MCA 1.0

Descrição:

O problema está relacionado ao script update ex detail.php no Sistema de Gerenciamento de Portfólio, onde o parâmetro q não é devidamente sanitizado, levando a uma vulnerabilidade de injeção de SQL. Isso pode permitir que um invasor remoto obtenha acesso não autorizado para ler, modificar e excluir dados, bem como executar código arbitrário enviando uma solicitação especialmente criada. O ataque pode ser iniciado remotamente.

Recomendações:

Para o Sistema de Gerenciamento de Portfólio 1000 Projects MCA versão 1.0, considere desativar o script update ex detail.php ou restringir o acesso a ele até que um patch esteja disponível. Como solução alternativa temporária, evite usar o parâmetro q no endpoint da API afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.