PT-2026-39654 · Hireflow · Hireflow
Yohaan Guzdar
·
Publicado
2026-05-11
·
Atualizado
2026-05-27
·
CVE-2026-38566
CVSS v3.1
8.1
Alta
| Vetor | AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:N |
Nome do Software Vulnerável e Versões Afetadas
HireFlow versão 1.2
Descrição
O software não implementa a validação de tokens Cross-Site Request Forgery (CSRF) em endpoints POST que alteram o estado. Isso permite que um invasor engane um usuário autenticado para visitar uma página maliciosa e realizar ações não autorizadas, como alterar senhas, excluir registros ou injetar dados arbitrários. O atributo
SESSION COOKIE SAMESITE também não está configurado, removendo as defesas de CSRF a nível de navegador. Os endpoints afetados incluem:- '/profile' (alteração de senha)
- '/candidates/delete/' (exclusão de candidato)
- '/feedback/add/' (envio de feedback)
- '/interviews/add' (agendamento de entrevista)
Recomendações
Implementar a validação de tokens CSRF para todos os endpoints POST que alteram o estado.
Configurar o atributo
SESSION COOKIE SAMESITE para habilitar a proteção CSRF a nível de navegador.Exploit
Correção
CSRF
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Hireflow