Plattform
php
Komponente
horilla-hr
Behoben in
1.5.1
CVE-2026-40865 describes an insecure direct object reference (IDOR) vulnerability within the Horilla HRMS, a free and open-source Human Resource Management System. This flaw allows authenticated users to bypass access controls and view documents belonging to other employees, potentially exposing highly sensitive information. The vulnerability affects versions 1.5.0 through 1.5.0 of Horilla HRMS, and a fix is pending release from the vendor.
CVE-2026-40865 betrifft Horilla, ein kostenloses und Open-Source-Human-Resource-Management-System (HRMS). Die Schwachstelle, eine unsichere direkte Objektreferenz (IDOR), ermöglicht authentifizierten Benutzern, auf Dokumente anderer Mitarbeiter zuzugreifen, indem sie einfach die Dokument-ID in der Anfrage ändern. Dies legt sensible HR-Dateien wie Ausweisdokumente, Arbeitsverträge, Zertifikate und andere private Mitarbeiterdaten frei. Das Risiko ist erheblich, da ein Angreifer mit authentifiziertem Zugriff die Vertraulichkeit von HR-Informationen gefährden könnte, was rechtliche und rufschädigende Folgen für die Organisation haben könnte.
Die IDOR-Schwachstelle in Horilla ist leicht auszunutzen. Ein authentifizierter Benutzer mit Zugriff auf die Dokumentenanzeige kann den Dokument-ID-Parameter in der URL oder im HTTP-Request-Body manipulieren, um auf Dokumente zuzugreifen, für die er nicht autorisiert ist. Es sind keine fortgeschrittenen technischen Kenntnisse erforderlich, um diesen Angriff durchzuführen. Die Authentifizierung ist die einzige Voraussetzung, was bedeutet, dass jeder Benutzer mit einem gültigen Konto in Horilla diese Schwachstelle potenziell ausnutzen kann. Das Fehlen einer ordnungsgemäßen ID-Validierung ermöglicht diesen unbefugten Zugriff.
Exploit-Status
EPSS
0.03% (7% Perzentil)
CISA SSVC
Derzeit wurde für CVE-2026-40865 noch kein offizieller Fix veröffentlicht. Die effektivste Sofortmaßnahme ist die vorübergehende Deaktivierung der Dokumentenanzeigefunktion, bis ein Update verfügbar ist. Benutzer von Horilla Version 1.5.0 werden dringend gebeten, offizielle Horilla-Mitteilungen bezüglich der Verfügbarkeit eines Patches zu überwachen. Als Vorsichtsmaßnahme sollten Sie eine strenge Zugriffskontrollrichtlinie implementieren, die sicherstellt, dass Benutzer nur auf die Dokumente zugreifen können, die sie zur Erfüllung ihrer Aufgaben benötigen. Die regelmäßige Überprüfung der Dokumenten-Zugriffsprotokolle kann ebenfalls dazu beitragen, verdächtige Aktivitäten zu erkennen und darauf zu reagieren.
Actualice a una versión corregida de Horilla HRMS. La vulnerabilidad de Insecure Direct Object Reference (IDOR) permite a usuarios autenticados acceder a documentos de otros empleados. La actualización solucionará este problema impidiendo el acceso no autorizado a datos sensibles.
Schwachstellenanalysen und kritische Warnungen direkt in deinen Posteingang.
Es ist eine eindeutige Kennung für diese Sicherheitslücke in Horilla.
Deaktivieren Sie die Dokumentenanzeige vorübergehend und überwachen Sie offizielle Updates.
Nein, jeder authentifizierte Benutzer kann sie potenziell ausnutzen.
Ausweisdokumente, Arbeitsverträge, Zertifikate und andere private Mitarbeiterdaten.
Die Deaktivierung der Dokumentenanzeige ist die effektivste Abschwächung, bis ein Patch veröffentlicht wird.
Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.