平台
php
组件
horilla-hr
修复版本
1.5.1
CVE-2026-40865 details a broken access control vulnerability in Horilla HRMS version 1.5.0. This vulnerability allows authenticated users to access documents uploaded by other employees by manipulating the document ID. This can expose sensitive HR files. No official patch available.
CVE-2026-40865 影响 Horilla,一个免费开源的人力资源管理系统 (HRMS)。该漏洞是一种不安全的直接对象引用 (IDOR),允许经过身份验证的用户只需修改请求中的文档 ID 即可访问其他员工上传的文档。这会暴露敏感的 HR 文件,例如身份证明文件、合同、证书和其他员工的私人记录。风险很高,因为具有经过身份验证的访问权限的攻击者可能会泄露 HR 信息,从而给组织带来法律和声誉后果。
Horilla 中的 IDOR 漏洞很容易被利用。具有文档查看器访问权限的经过身份验证的用户可以操纵 URL 或 HTTP 请求正文中的文档 ID 参数来访问他们没有授权查看的文档。无需高级技术知识即可执行此攻击。先决条件只是身份验证,这意味着 Horilla 中拥有有效帐户的任何用户都可能潜在地利用此漏洞。缺乏适当的 ID 验证使得这种未经授权的访问成为可能。
漏洞利用状态
EPSS
0.03% (7% 百分位)
CISA SSVC
目前,尚未发布针对 CVE-2026-40865 的官方修复程序。最有效的即时缓解措施是暂时禁用文档查看器功能,直到有更新可用。强烈建议 Horilla 1.5.0 的用户监控 Horilla 的官方通讯,以获取有关补丁可用性的信息。作为预防措施,应实施严格的访问控制策略,确保用户只能访问执行其任务所需的文档。定期审核文档访问日志也可以帮助检测和响应可疑活动。
Actualice a una versión corregida de Horilla HRMS. La vulnerabilidad de Insecure Direct Object Reference (IDOR) permite a usuarios autenticados acceder a documentos de otros empleados. La actualización solucionará este problema impidiendo el acceso no autorizado a datos sensibles.
漏洞分析和关键警报直接发送到您的邮箱。
这是 Horilla 中此安全漏洞的唯一标识符。
暂时禁用文档查看器并监控官方更新。
不,任何经过身份验证的用户都可能潜在地利用它。
身份证明文件、雇佣合同、证书和其他员工的私人记录。
在发布补丁之前,禁用文档查看器是最有效的缓解措施。