Plataforma
other
Componente
orca-hcm
Corregido en
11.0
La vulnerabilidad CVE-2024-8584 afecta a Orca HCM, una solución de gestión de recursos humanos de LEARNING DIGITAL. Esta vulnerabilidad de falta de autenticación permite a un atacante remoto, sin necesidad de credenciales, crear una cuenta con privilegios de administrador. Las versiones afectadas son desde la 0 hasta la 11.0. La solución es actualizar a la versión 11.0, que incluye la corrección de seguridad.
El impacto de esta vulnerabilidad es crítico. Un atacante exitoso puede eludir completamente los controles de autenticación y crear una cuenta de administrador dentro del sistema Orca HCM. Esto le otorga control total sobre la aplicación, permitiéndole acceder a información confidencial de los empleados, modificar datos, realizar cambios en la configuración del sistema e incluso comprometer otros sistemas a los que Orca HCM tenga acceso. La falta de autenticación facilita enormemente la explotación, ya que no requiere conocimiento previo de contraseñas o credenciales válidas. La capacidad de crear una cuenta de administrador sin autenticación representa un riesgo significativo para la integridad y confidencialidad de los datos de la organización.
Actualmente, no se dispone de información pública sobre campañas de explotación activa relacionadas con CVE-2024-8584. La vulnerabilidad ha sido publicada el 9 de septiembre de 2024. La alta puntuación CVSS (9.8) indica un riesgo significativo y la falta de autenticación facilita la explotación. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar cualquier actividad maliciosa relacionada.
Organizations utilizing Orca HCM for human resource management are at risk, particularly those running versions 0 through 11.0. Companies with limited security controls or those relying on default configurations are especially vulnerable. Shared hosting environments where multiple organizations share the same Orca HCM instance also face increased risk.
disclosure
Estado del Exploit
EPSS
0.83% (74% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2024-8584 es actualizar Orca HCM a la versión 11.0 o superior, que incluye la corrección de la vulnerabilidad. Si la actualización inmediata no es posible, considere implementar medidas de seguridad adicionales como la segmentación de la red para limitar el acceso a Orca HCM desde redes no confiables. Revise y refuerce las políticas de contraseñas y la autenticación multifactor (MFA) en otros sistemas integrados con Orca HCM para reducir el impacto potencial de una brecha. Monitoree los registros de auditoría de Orca HCM en busca de actividad sospechosa, como la creación de cuentas de usuario no autorizadas.
Actualice Orca HCM a la versión 11.0 o superior. Esta versión corrige la vulnerabilidad de autenticación faltante que permite la creación de cuentas con privilegios de administrador. Consulte las notas de la versión para obtener más detalles sobre la actualización.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-8584 is a critical vulnerability in Orca HCM allowing unauthenticated attackers to create administrator accounts. It impacts versions 0–11.0 and carries a CVSS score of 9.8.
If you are using Orca HCM versions 0 through 11.0, you are potentially affected. Verify your version and prioritize upgrading to 11.0 or later.
The recommended fix is to upgrade Orca HCM to version 11.0 or later. If upgrading is not immediately possible, implement temporary access restrictions and monitor user activity.
While no public exploits are currently available, the vulnerability's critical severity and ease of exploitation suggest a high likelihood of active exploitation.
Refer to the LEARNING DIGITAL security advisory for detailed information and updates regarding CVE-2024-8584. Check their official website or security notification channels.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.