CVE-2026-38567
KrytyczneStreszczenie
HireFlow v1.2 jest podatny na atak typu SQL injection w punktach końcowych /login i /search. Wprowadzone przez użytkownika dane są bezpośrednio łączone z zapytaniami SQL bez parametryzacji.
Ocena ryzyka
Nieautoryzowany atakujący może obejść uwierzytelnianie, podając spreparowaną nazwę użytkownika lub wydobyć pełną zawartość bazy danych, w tym dane logowania użytkowników.
Rekomendacja
Zaleca się wprowadzenie parametryzacji zapytań SQL oraz przegląd i zabezpieczenie punktów końcowych /login i /search przed potencjalnymi atakami.
Oryginalny opis (angielski, źródło NVD)
HireFlow v1.2 is vulnerable to SQL injection in the /login and /search endpoints. User-supplied input is concatenated directly into SQL queries without parameterization. An unauthenticated attacker can bypass authentication by supplying a crafted username (e.g. admin'--) or extract the full contents of the database including user credentials via UNION-based injection at the /search endpoint.

