OrangeHRM — это комплексная система управления человеческими ресурсами (HRM). Начиная с версии 5.0 до 5.8, OrangeHRM с открытым исходным кодом позволял аутентифицированным пользователям обходить средства контроля доступа к отключенным модулям через URL-адреса запросов и получать доступ к функциям модулей, отключенных администратором. Эта уязвимость исправлена в версии 5.8.1.
Показать оригинальное описание (EN)
OrangeHRM is a comprehensive human resource management (HRM) system. From 5.0 to 5.8, OrangeHRM Open Source allowed authenticated users to bypass disabled-module access controls via URL-encoded request paths and access functionality of modules disabled by an administrator. This vulnerability is fixed in 5.8.1.
Характеристики атаки
Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Условия для атаки
Не требуются
Нет дополнительных условий
Нужны права
Низкие
Нужны базовые права
Участие пользователя
Не требуется
Не нужно действие пользователя
Последствия
Конфиденциальность
Низкое
Частичная утечка данных
Целостность
Низкое
Частичная модификация данных
Доступность
Нет
Нет нарушения работы
Строка CVSS v4.0
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Orangehrm Orangehrm
cpe:2.3:a:orangehrm:orangehrm:*:*:*:*:*:*:*:*
|
5.0
|
5.8.1
|