मुफ्त स्कैन करें
MEDIUMCVE-2026-40866

Horilla: फ़ाइल अपलोड एंडपॉइंट के माध्यम से अनधिकृत दस्तावेज़ ओवरराइट

प्लेटफ़ॉर्म

php

घटक

horilla-hr

में ठीक किया गया

1.5.1

AI Confidence: highNVDEPSS 0.0%समीक्षित: मई 2026
NVD पर देखें
सहेजें

CVE-2026-40866 Horilla HRMS में एक भेद्यता है जो Unrestricted File Upload का कारण बनती है। इस भेद्यता का फायदा उठाकर हमलावर अन्य कर्मचारियों के दस्तावेज़ों को ओवरराइट कर सकते हैं। यह भेद्यता Horilla HRMS के 1.5.0 संस्करण को प्रभावित करती है।

प्रभाव और हमले की स्थितियाँ

Horilla में CVE-2026-40866 एक महत्वपूर्ण सुरक्षा जोखिम है, जो एक मुफ्त और ओपन-सोर्स ह्यूमन रिसोर्स मैनेजमेंट सिस्टम (HRMS) में मौजूद है। कर्मचारी दस्तावेज़ अपलोड एंडपॉइंट में असुरक्षित डायरेक्ट ऑब्जेक्ट रेफरेंस (IDOR) भेद्यता के कारण, कोई भी प्रमाणित उपयोगकर्ता अपलोड अनुरोध में दस्तावेज़ आईडी को बदलकर दूसरे कर्मचारी के दस्तावेज़ को ओवरराइट, बदल या दूषित कर सकता है। इससे मानव संसाधन रिकॉर्ड में अनधिकृत संशोधन हो सकता है, कर्मचारी जानकारी से समझौता हो सकता है और संभावित कानूनी परिणाम हो सकते हैं। आसानी से उपलब्ध समाधान की कमी स्थिति को और बढ़ा देती है, जिसके लिए तत्काल ध्यान देने और सक्रिय शमन रणनीतियों की आवश्यकता होती है।

शोषण संदर्भ

Horilla सिस्टम के भीतर एक प्रमाणित हमलावर इस भेद्यता का फायदा उठा सकता है। हमलावर को दूसरे कर्मचारी के दस्तावेज़ के आईडी को जानना या अनुमान लगाना होगा। उस आईडी का उपयोग करके दस्तावेज़ अपलोड अनुरोध को संशोधित करके, हमलावर मूल दस्तावेज़ को दुर्भावनापूर्ण दस्तावेज़ से बदल सकता है या बस मौजूदा दस्तावेज़ को हटा सकता है। प्रमाणीकरण एकमात्र पूर्व शर्त है, जिसका अर्थ है कि Horilla के भीतर कोई भी मान्य उपयोगकर्ता खाता संभावित रूप से इस भेद्यता का फायदा उठा सकता है। शोषण की सरलता इस भेद्यता को विशेष रूप से चिंताजनक बनाती है।

कौन जोखिम में हैअनुवाद हो रहा है…

Organizations utilizing Horilla HRMS version 1.5.0 are at immediate risk. Specifically, deployments with weak access controls or shared user accounts are particularly vulnerable. Companies relying on Horilla HRMS for critical HR functions, such as payroll or benefits administration, face a heightened risk of data compromise.

पहचान के चरणअनुवाद हो रहा है…

• php: Examine web server access logs for requests containing suspicious file extensions (e.g., .php, .exe) in the document upload endpoint. Look for patterns of rapid file uploads or uploads from unusual IP addresses.

grep -i 'upload.php|document.php' /var/log/apache2/access.log | grep -i '.exe|.php'

• generic web: Use curl to test the upload endpoint with various file types and extensions to identify potential vulnerabilities.

curl -F '[email protected]' http://your-horilla-instance/upload.php

हमले की समयरेखा

  1. Disclosure

    disclosure

खतरा खुफिया

एक्सप्लॉइट स्थिति

प्रूफ ऑफ कॉन्सेप्टअज्ञात
CISA KEVNO
रिपोर्ट1 खतरा रिपोर्ट

EPSS

0.04% (13% शतमक)

CISA SSVC

शोषणpoc
स्वचालनीयno
तकनीकी प्रभावtotal

प्रभावित सॉफ्टवेयर

घटकhorilla-hr
विक्रेताhorilla-opensource
प्रभावित श्रेणीमें ठीक किया गया
1.5.0 – 1.5.01.5.1

कमजोरी वर्गीकरण (CWE)

CWE-284CWE-639

समयरेखा

  1. आरक्षित
  2. प्रकाशित
  3. EPSS अद्यतन
बिना पैच — प्रकाशन से 33 दिन

शमन और वर्कअराउंड

Horilla में CVE-2026-40866 के लिए कोई समाधान प्रदान नहीं किए जाने के कारण, तत्काल शमन कदम महत्वपूर्ण हैं। विशिष्ट भूमिकाओं वाले अधिकृत कर्मियों तक दस्तावेज़ अपलोड कार्यक्षमता तक पहुंच को प्रतिबंधित करना सर्वोपरि है। अनुरोध किए गए दस्तावेज़ आईडी अनुरोध करने वाले कर्मचारी के अनुरूप है यह सत्यापित करने के लिए सर्वर-साइड सत्यापन को लागू करना आवश्यक है। सिस्टम लॉग की नियमित रूप से निगरानी करना, जैसे कि अमान्य आईडी वाले दस्तावेज़ अपलोड करने के प्रयास, संभावित हमलों का पता लगाने और उनका जवाब देने में मदद कर सकता है। संभावित दीर्घकालिक समाधान के रूप में, पिछली सुरक्षित Horilla संस्करण में डाउनग्रेड करने या बेहतर सुरक्षा सुविधाओं वाले वैकल्पिक HRMS में माइग्रेट करने पर विचार करें।

कैसे ठीक करेंअनुवाद हो रहा है…

Actualice a una versión corregida de Horilla HRMS. La vulnerabilidad se solucionará en una versión futura.  Verifique el repositorio de GitHub para obtener más detalles y actualizaciones sobre la corrección.

CVE सुरक्षा न्यूज़लेटर

भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।

अक्सर पूछे जाने वाले सवाल

CVE-2026-40866 क्या है — Horilla HRMS में Unrestricted File Upload?

'IDOR' का मतलब 'इनसिक्योर डायरेक्ट ऑब्जेक्ट रेफरेंस' है। यह वेब सुरक्षा भेद्यता का एक प्रकार है जो तब होता है जब कोई एप्लिकेशन किसी आंतरिक पहचानकर्ता (जैसे डेटाबेस आईडी) का उपयोग करके किसी ऑब्जेक्ट तक सीधे पहुंचता है, बिना उचित सत्यापन के।

क्या मैं Horilla HRMS में CVE-2026-40866 से प्रभावित हूं?

यदि आप Horilla के संस्करण 1.5.0 का उपयोग कर रहे हैं, तो आप इस भेद्यता के प्रति संवेदनशील हैं। कृपया अपने सॉफ़्टवेयर संस्करण की जांच करें।

Horilla HRMS में CVE-2026-40866 को कैसे ठीक करें?

दस्तावेज़ अपलोड फ़ंक्शन तक पहुंच को प्रतिबंधित करें, दस्तावेज़ आईडी को मान्य करें और सिस्टम लॉग की निगरानी करें।

क्या CVE-2026-40866 का सक्रिय रूप से शोषण किया जा रहा है?

कर्मचारी दस्तावेज़ों की तुरंत जांच करें कि क्या कोई अनधिकृत संशोधन किया गया है। स्वच्छ बैकअप से पुनर्स्थापित करने पर विचार करें।

CVE-2026-40866 के लिए Horilla HRMS का आधिकारिक सुरक्षा सलाह कहां मिलेगी?

आप NVD (नेशनल भेद्यता डेटाबेस) जैसे भेद्यता डेटाबेस में CVE-2026-40866 के बारे में अधिक जानकारी प्राप्त कर सकते हैं।

क्या आपका प्रोजेक्ट प्रभावित है?

अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।

मुफ्त स्कैन करेंCVE खोजें