Platform
php
Component
horilla-hr
Opgelost in
1.5.1
In Horilla HRMS is een Broken Access Control kwetsbaarheid ontdekt. Deze kwetsbaarheid stelt geauthenticeerde gebruikers in staat om documenten van andere werknemers te bekijken, waardoor gevoelige HR-bestanden zoals identiteitsdocumenten en contracten aan onbevoegden worden onthuld. De kwetsbaarheid beïnvloedt Horilla HRMS versie 1.5.0. Er is momenteel geen officiële patch beschikbaar.
CVE-2026-40865 treft Horilla, een gratis en open-source Human Resource Management System (HRMS). De kwetsbaarheid, een onveilige directe objectreferentie (IDOR), stelt geauthenticeerde gebruikers in staat om toegang te krijgen tot documenten van andere medewerkers door eenvoudig de document-ID in de aanvraag te wijzigen. Dit legt gevoelige HR-bestanden bloot, zoals identiteitsdocumenten, arbeidsovereenkomsten, certificaten en andere privé-personeelsrecords. Het risico is aanzienlijk, aangezien een aanvaller met geauthenticeerde toegang de vertrouwelijkheid van HR-informatie kan compromitteren, wat juridische en reputatieschade voor de organisatie kan veroorzaken.
De IDOR-kwetsbaarheid in Horilla is gemakkelijk te exploiteren. Een geauthenticeerde gebruiker met toegang tot de documentviewer kan de document-ID-parameter in de URL of de HTTP-aanvraagbody manipuleren om toegang te krijgen tot documenten waarvoor hij niet geautoriseerd is. Er is geen geavanceerde technische kennis vereist om deze aanval uit te voeren. Authenticatie is de enige vereiste, wat betekent dat elke gebruiker met een geldig account in Horilla deze kwetsbaarheid mogelijk kan exploiteren. Het ontbreken van een juiste ID-validatie maakt deze ongeautoriseerde toegang mogelijk.
Exploit Status
EPSS
0.03% (7% percentiel)
CISA SSVC
Momenteel is er nog geen officiële fix uitgebracht voor CVE-2026-40865. De meest effectieve onmiddellijke mitigatie is om de documentviewerfunctionaliteit tijdelijk uit te schakelen totdat een update beschikbaar is. Gebruikers van Horilla versie 1.5.0 worden ten zeerste aangeraden om officiële Horilla-communicatie te volgen met betrekking tot de beschikbaarheid van een patch. Als preventieve maatregel dient u een strikt toegangscontrolebeleid te implementeren, zodat gebruikers alleen toegang hebben tot de documenten die ze nodig hebben om hun taken uit te voeren. Regelmatige controle van documenttoegangslogboeken kan ook helpen bij het detecteren en reageren op verdachte activiteiten.
Actualice a una versión corregida de Horilla HRMS. La vulnerabilidad de Insecure Direct Object Reference (IDOR) permite a usuarios autenticados acceder a documentos de otros empleados. La actualización solucionará este problema impidiendo el acceso no autorizado a datos sensibles.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
Het is een unieke identificatie voor deze beveiligingskwetsbaarheid in Horilla.
Schakel de documentviewer tijdelijk uit en volg officiële updates.
Nee, elke geauthenticeerde gebruiker kan deze mogelijk exploiteren.
Identiteitsdocumenten, arbeidsovereenkomsten, certificaten en andere privé-personeelsrecords.
Het uitschakelen van de documentviewer is de meest effectieve mitigatie totdat een patch is uitgebracht.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.