OrangeHRM — это комплексная система управления человеческими ресурсами (HRM). Начиная с версии 5.0 до 5.8, OrangeHRM с открытым исходным кодом шифрует определенные конфиденциальные поля с помощью AES в режиме ECB, что сохраняет шаблоны открытого текста с выравниванием по блокам в зашифрованном тексте и позволяет раскрывать шаблоны по сохраненным данным. Эта уязвимость исправлена в версии 5.8.1.
Показать оригинальное описание (EN)
OrangeHRM is a comprehensive human resource management (HRM) system. From 5.0 to 5.8, OrangeHRM Open Source encrypts certain sensitive fields with AES in ECB mode, which preserves block-aligned plaintext patterns in ciphertext and enables pattern disclosure against stored data. This vulnerability is fixed in 5.8.1.
Характеристики атаки
Способ атаки
По сети
Атака возможна удалённо
Сложность
Высокая
Сложно эксплуатировать
Условия для атаки
Требуются
Нужны дополнительные условия
Нужны права
Высокие
Нужны права администратора
Участие пользователя
Не требуется
Не нужно действие пользователя
Последствия
Конфиденциальность
Низкое
Частичная утечка данных
Целостность
Нет
Нет модификации данных
Доступность
Нет
Нет нарушения работы
Строка CVSS v4.0
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Orangehrm Orangehrm
cpe:2.3:a:orangehrm:orangehrm:*:*:*:*:*:*:*:*
|
5.0
|
5.8.1
|