Podatność CVE-2022-27108

Podatność CVE-2022-27108

Publikacja: 2022-04-06

Opis:

OrangeHRM 4.10 is vulnerable to Insecure Direct Object Reference (IDOR) via the end point symfony/web/index.php/time/createTimesheet`. Any user can create a timesheet in another user's account.

Typ:

CWE-639

(Authorization Bypass Through User-Controlled Key)

CVSS2 => (AV:N/AC:L/Au:S/C:N/I:P/A:N)

Ogólna skala CVSS	Znaczenie	Łatwość wykorzystania
4/10	2.9/10	8/10

Wymagany dostęp	Złożoność ataku	Autoryzacja
Zdalny	Niska	Jednorazowa
Wpływ na poufność	Wpływ na integralność	Wpływ na dostępność
Brak	Częściowy	Brak

Affected software
Orangehrm -> Orangehrm

Referencje:

https://github.com/orangehrm/orangehrm/issues/1173

Copyright 2024, cxsecurity.com