Plataforma
other
Componente
horilla
Corregido en
1.4.1
Se ha descubierto una vulnerabilidad de XSS almacenada en Horilla HRMS, un sistema de gestión de recursos humanos de código abierto. Esta vulnerabilidad, presente en versiones anteriores a la 1.4.0, permite a un usuario autenticado con privilegios bajos ejecutar código JavaScript arbitrario en el navegador de un administrador. La explotación exitosa de esta vulnerabilidad podría resultar en el robo de cookies de administrador o tokens CSRF, comprometiendo la sesión del administrador y permitiendo el acceso no autorizado a datos sensibles.
El impacto de esta vulnerabilidad es significativo, ya que permite la completa toma de control de la cuenta de administrador. Un atacante podría, tras ejecutar JavaScript malicioso, robar las cookies de sesión del administrador, lo que le permitiría suplantar la identidad del administrador y acceder a todas las funcionalidades del sistema HRMS. Esto incluye la visualización, modificación y eliminación de datos confidenciales de los empleados, la gestión de cuentas de usuario y la configuración del sistema. La vulnerabilidad se asemeja a otros ataques XSS que han comprometido sistemas similares, demostrando la importancia de la validación adecuada de las entradas del usuario.
Esta vulnerabilidad ha sido publicada el 25 de septiembre de 2025. No se ha reportado su inclusión en el KEV de CISA ni la existencia de pruebas de concepto (PoC) públicas activas al momento de la publicación. Sin embargo, dada la severidad de la vulnerabilidad (CVSS 9.9) y la facilidad potencial de explotación, se recomienda tomar medidas preventivas de inmediato.
Organizations using Horilla HRMS, particularly those with multiple administrators and sensitive employee data, are at risk. Shared hosting environments where multiple customers share the same Horilla HRMS instance are also at increased risk, as a compromise of one customer's account could potentially lead to the compromise of others.
• linux / server: Monitor Horilla HRMS logs for unusual activity related to the ticket comment editor. Look for patterns indicative of script injection attempts. grep -i 'script' /var/log/horilla/access.log
• generic web: Use curl or wget to test the ticket comment editor for XSS vulnerabilities. curl -X POST -d 'comment=<script>alert(1)</script>' http://your-horilla-instance/tickets/1/comments
• database (mysql, postgresql): If Horilla HRMS uses a database, review the database schema for the ticket comments table. Ensure that appropriate sanitization and escaping are applied to prevent XSS attacks.
disclosure
Estado del Exploit
EPSS
0.08% (24% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para esta vulnerabilidad es actualizar Horilla HRMS a la versión 1.4.0 o superior, que incluye la corrección de seguridad. Si la actualización inmediata no es posible, se recomienda implementar medidas de seguridad adicionales, como la aplicación de políticas de seguridad de contenido (CSP) para restringir la ejecución de scripts en el navegador. Además, se debe revisar y fortalecer la autenticación de dos factores (2FA) para las cuentas de administrador, lo que dificultaría el acceso no autorizado incluso si las cookies de sesión se ven comprometidas. Después de la actualización, confirme que la vulnerabilidad ha sido resuelta revisando los registros de auditoría y realizando pruebas de penetración.
Actualice Horilla HRMS a la versión 1.4.0 o superior. Esta versión contiene una corrección para la vulnerabilidad XSS (Cross-Site Scripting) almacenada en la sección de comentarios de los tickets. La actualización mitigará el riesgo de que usuarios malintencionados ejecuten código JavaScript arbitrario en el navegador de un administrador.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-59832 is a critical stored XSS vulnerability in Horilla HRMS versions before 1.4.0. It allows authenticated users to inject JavaScript code, potentially hijacking administrator sessions.
You are affected if you are using Horilla HRMS version 1.4.0 or earlier. Upgrade to 1.4.0 to resolve the vulnerability.
Upgrade Horilla HRMS to version 1.4.0 or later. As a temporary workaround, implement stricter input validation and output encoding on the ticket comment editor.
While no active exploitation has been confirmed, the vulnerability's criticality and ease of exploitation suggest a potential for rapid exploitation.
Refer to the official Horilla HRMS website or GitHub repository for the latest security advisories and updates.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.