Plateforme
php
Composant
horilla-hr
Corrigé dans
1.5.1
La vulnérabilité CVE-2026-40865 concerne Horilla HRMS, un système de gestion des ressources humaines open source. Dans la version 1.5.0, une faille de contrôle d'accès permet à un utilisateur authentifié d'accéder aux documents d'autres employés en manipulant l'ID du document. Cela peut exposer des informations sensibles telles que des documents d'identité, des contrats et des certificats. Aucune correction officielle n'est disponible pour le moment.
CVE-2026-40865 affecte Horilla, un Système de Gestion des Ressources Humaines (SIRH) gratuit et open source. La vulnérabilité, une référence directe à un objet non sécurisée (IDOR), permet aux utilisateurs authentifiés d'accéder aux documents téléchargés par d'autres employés en modifiant simplement l'identifiant du document dans la requête. Cela expose des fichiers RH sensibles tels que les pièces d'identité, les contrats de travail, les certificats et autres dossiers privés des employés. Le risque est important car un attaquant disposant d'un accès authentifié pourrait compromettre la confidentialité des informations RH, ce qui pourrait entraîner des conséquences juridiques et de réputation pour l'organisation.
La vulnérabilité IDOR dans Horilla est facilement exploitable. Un utilisateur authentifié, disposant d'un accès au visualiseur de documents, peut manipuler le paramètre d'identifiant du document dans l'URL ou le corps de la requête HTTP pour accéder à des documents auxquels il n'est pas autorisé à accéder. Aucune connaissance technique avancée n'est requise pour mener à bien cette attaque. L'authentification est le seul prérequis, ce qui signifie que tout utilisateur disposant d'un compte valide dans Horilla peut potentiellement exploiter cette vulnérabilité. L'absence de validation appropriée de l'identifiant du document permet cet accès non autorisé.
Statut de l'Exploit
EPSS
0.03% (percentile 7%)
CISA SSVC
Actuellement, aucune correction officielle n'a été publiée pour CVE-2026-40865. L'atténuation immédiate la plus efficace consiste à désactiver temporairement la fonctionnalité du visualiseur de documents jusqu'à ce qu'une mise à jour soit disponible. Les utilisateurs de Horilla version 1.5.0 sont fortement invités à surveiller les communications officielles de Horilla concernant la disponibilité d'un correctif. En guise de mesure préventive, mettez en œuvre une politique de contrôle d'accès stricte, en veillant à ce que les utilisateurs n'aient accès qu'aux documents dont ils ont besoin pour effectuer leurs tâches. L'audit régulier des journaux d'accès aux documents peut également aider à détecter et à répondre aux activités suspectes.
Actualice a una versión corregida de Horilla HRMS. La vulnerabilidad de Insecure Direct Object Reference (IDOR) permite a usuarios autenticados acceder a documentos de otros empleados. La actualización solucionará este problema impidiendo el acceso no autorizado a datos sensibles.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
C'est un identifiant unique pour cette vulnérabilité de sécurité dans Horilla.
Désactivez temporairement le visualiseur de documents et surveillez les mises à jour officielles.
Non, tout utilisateur authentifié peut potentiellement l'exploiter.
Pièces d'identité, contrats de travail, certificats et autres dossiers privés des employés.
Désactiver le visualiseur de documents est l'atténuation la plus efficace jusqu'à ce qu'un correctif soit publié.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.