Katalog CVE

CVE-2026-13535

ŚrednieCVSS 6.3
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.20%

Percentyl 10 — wyżej niż 10% wszystkich znanych CVE

Streszczenie

W systemie CodeAstro Human Resource Management System 1.0 wykryto podatność na iniekcję SQL w funkcji GetFileInfo pliku Employee_model.php. Manipulacja argumentem ID w endpointcie widoku umożliwia zdalne wykonanie ataku. Exploit został opublikowany i może być wykorzystany.

Ocena ryzyka

Atakujący może zdalnie wykraść, zmodyfikować lub usunąć dane z bazy danych systemu HR, co prowadzi do naruszenia poufności i integralności danych osobowych pracowników.

Rekomendacja

Należy natychmiast zastosować łatkę od producenta lub tymczasowo wyłączyć endpoint widoku. Wdrożyć parametryzację zapytań SQL i walidację wejścia dla argumentu ID.

Oryginalny opis (angielski, źródło NVD)

A flaw has been found in CodeAstro Human Resource Management System 1.0. This vulnerability affects the function GetFileInfo of the file hrsystem/application/models/Employee_model.php of the component View Endpoint. Executing a manipulation of the argument ID can lead to sql injection. The attack can be launched remotely. The exploit has been published and may be used.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS