Katalog CVE

CVE-2026-38567

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

HireFlow v1.2 jest podatny na atak typu SQL injection w punktach końcowych /login i /search. Wprowadzone przez użytkownika dane są bezpośrednio łączone z zapytaniami SQL bez parametryzacji.

Ocena ryzyka

Nieautoryzowany atakujący może obejść uwierzytelnianie, podając spreparowaną nazwę użytkownika lub wydobyć pełną zawartość bazy danych, w tym dane logowania użytkowników.

Rekomendacja

Zaleca się wprowadzenie parametryzacji zapytań SQL oraz przegląd i zabezpieczenie punktów końcowych /login i /search przed potencjalnymi atakami.

Oryginalny opis (angielski, źródło NVD)

HireFlow v1.2 is vulnerable to SQL injection in the /login and /search endpoints. User-supplied input is concatenated directly into SQL queries without parameterization. An unauthenticated attacker can bypass authentication by supplying a crafted username (e.g. admin'--) or extract the full contents of the database including user credentials via UNION-based injection at the /search endpoint.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS