प्लेटफ़ॉर्म
php
घटक
horilla-hr
में ठीक किया गया
1.5.1
CVE-2026-40865 Horilla HRMS में एक भेद्यता है जो Insecure Direct Object Reference का कारण बनती है। इस भेद्यता का फायदा उठाकर हमलावर अन्य कर्मचारियों के अपलोड किए गए दस्तावेज़ देख सकते हैं। यह भेद्यता Horilla HRMS के 1.5.0 संस्करण को प्रभावित करती है।
CVE-2026-40865 Horilla को प्रभावित करता है, जो एक मुफ्त और ओपन-सोर्स ह्यूमन रिसोर्स मैनेजमेंट सिस्टम (HRMS) है। यह भेद्यता, एक असुरक्षित डायरेक्ट ऑब्जेक्ट रेफरेंस (IDOR) है, जो प्रमाणित उपयोगकर्ताओं को अनुरोध में दस्तावेज़ ID को बदलकर अन्य कर्मचारियों द्वारा अपलोड किए गए दस्तावेज़ों तक पहुंचने की अनुमति देता है। यह संवेदनशील HR फ़ाइलों जैसे पहचान दस्तावेजों, अनुबंधों, प्रमाणपत्रों और अन्य निजी कर्मचारी रिकॉर्ड को उजागर करता है। जोखिम अधिक है क्योंकि प्रमाणित एक्सेस वाले एक हमलावर HR जानकारी से समझौता कर सकते हैं, जिससे संगठन के लिए कानूनी और प्रतिष्ठा संबंधी परिणाम हो सकते हैं।
Horilla में IDOR भेद्यता का आसानी से फायदा उठाया जा सकता है। दस्तावेज़ दर्शक तक पहुंच रखने वाला प्रमाणित उपयोगकर्ता URL या HTTP अनुरोध बॉडी में दस्तावेज़ ID पैरामीटर को बदलकर उन दस्तावेजों तक पहुंच सकता है जिनके लिए उसे अधिकृत नहीं है। इस हमले को करने के लिए उन्नत तकनीकी ज्ञान की आवश्यकता नहीं है। एकमात्र पूर्व शर्त प्रमाणीकरण है, जिसका अर्थ है कि Horilla में एक वैध खाता रखने वाला कोई भी उपयोगकर्ता संभावित रूप से इस भेद्यता का फायदा उठा सकता है। दस्तावेज़ ID का उचित सत्यापन न होने से यह अनधिकृत पहुंच संभव हो पाती है।
एक्सप्लॉइट स्थिति
EPSS
0.03% (7% शतमक)
CISA SSVC
वर्तमान में, CVE-2026-40865 के लिए कोई आधिकारिक फिक्स जारी नहीं किया गया है। सबसे प्रभावी तत्काल शमन उपाय दस्तावेज़ दर्शक कार्यक्षमता को अस्थायी रूप से अक्षम करना है जब तक कि अपडेट उपलब्ध न हो जाए। Horilla संस्करण 1.5.0 के उपयोगकर्ताओं को पैच की उपलब्धता के बारे में Horilla के आधिकारिक संचारों की निगरानी करने की दृढ़ता से सलाह दी जाती है। निवारक उपाय के रूप में, सख्त एक्सेस कंट्रोल नीतियों को लागू करें, यह सुनिश्चित करें कि उपयोगकर्ताओं के पास केवल उन दस्तावेजों तक पहुंच हो जिनकी उन्हें अपने कार्यों को करने की आवश्यकता है। दस्तावेजों तक पहुंच लॉग की नियमित रूप से ऑडिट करने से संदिग्ध गतिविधि का पता लगाने और प्रतिक्रिया देने में भी मदद मिल सकती है।
Actualice a una versión corregida de Horilla HRMS. La vulnerabilidad de Insecure Direct Object Reference (IDOR) permite a usuarios autenticados acceder a documentos de otros empleados. La actualización solucionará este problema impidiendo el acceso no autorizado a datos sensibles.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
यह Horilla में इस सुरक्षा भेद्यता के लिए एक अनूठा पहचानकर्ता है।
दस्तावेज़ दर्शक को अस्थायी रूप से अक्षम करें और आधिकारिक अपडेट की निगरानी करें।
नहीं, कोई भी प्रमाणित उपयोगकर्ता संभावित रूप से इसका फायदा उठा सकता है।
पहचान दस्तावेज, रोजगार अनुबंध, प्रमाणपत्र और अन्य निजी कर्मचारी रिकॉर्ड।
पैच जारी होने तक दस्तावेज़ दर्शक को अक्षम करना सबसे प्रभावी शमन है।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।