OrangeHRM — это комплексная система управления человеческими ресурсами (HRM). В версиях с 5.0 по 5.8 в OrangeHRM Open Source отсутствует авторизация для спецификации задания и обработчиков загрузки вложений вакансий, что позволяет аутентифицированным пользователям с низким уровнем привилегий читать вложения посредством прямой ссылки на идентификаторы вложений. Эта уязвимость исправлена в версии 5.8.1.
Показать оригинальное описание (EN)
OrangeHRM is a comprehensive human resource management (HRM) system. From 5.0 to 5.8, OrangeHRM Open Source omits authorization on job specification and vacancy attachment download handlers, allowing authenticated low-privilege users to read attachments via direct reference to attachment identifiers. This vulnerability is fixed in 5.8.1.
Характеристики атаки
Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Условия для атаки
Не требуются
Нет дополнительных условий
Нужны права
Низкие
Нужны базовые права
Участие пользователя
Не требуется
Не нужно действие пользователя
Последствия
Конфиденциальность
Низкое
Частичная утечка данных
Целостность
Нет
Нет модификации данных
Доступность
Нет
Нет нарушения работы
Строка CVSS v4.0
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Orangehrm Orangehrm
cpe:2.3:a:orangehrm:orangehrm:*:*:*:*:*:*:*:*
|
5.0
|
5.8.1
|