CVE-2024-58290

Nome do Software Vulnerável e Versões Afetadas Xhibiter NFT Marketplace versão 1.10.2

Descrição O software Xhibiter NFT Marketplace apresenta uma vulnerabilidade de injeção de SQL no endpoint collections. Um atacante pode manipular consultas ao banco de dados utilizando o parâmetro id. Técnicas de injeção de SQL baseadas em booleanos, baseadas em tempo e baseadas em UNION podem ser utilizadas para extrair ou manipular informações do banco de dados mediante o envio de payloads elaborados para a página collections. O endpoint da API afetado é '/collections'. O parâmetro vulnerável é id.

Recomendações Aplique uma correção para sanitizar o parâmetro id no endpoint collections a fim de prevenir injeção de SQL. Como medida paliativa temporária, restrinja o acesso ao endpoint collections para minimizar o risco de exploração.