CVE-2026-13535
ŚrednieCVSS 6.3Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 10 — wyżej niż 10% wszystkich znanych CVE
Streszczenie
W systemie CodeAstro Human Resource Management System 1.0 wykryto podatność na iniekcję SQL w funkcji GetFileInfo pliku Employee_model.php. Manipulacja argumentem ID w endpointcie widoku umożliwia zdalne wykonanie ataku. Exploit został opublikowany i może być wykorzystany.
Ocena ryzyka
Atakujący może zdalnie wykraść, zmodyfikować lub usunąć dane z bazy danych systemu HR, co prowadzi do naruszenia poufności i integralności danych osobowych pracowników.
Rekomendacja
Należy natychmiast zastosować łatkę od producenta lub tymczasowo wyłączyć endpoint widoku. Wdrożyć parametryzację zapytań SQL i walidację wejścia dla argumentu ID.
Oryginalny opis (angielski, źródło NVD)
A flaw has been found in CodeAstro Human Resource Management System 1.0. This vulnerability affects the function GetFileInfo of the file hrsystem/application/models/Employee_model.php of the component View Endpoint. Executing a manipulation of the argument ID can lead to sql injection. The attack can be launched remotely. The exploit has been published and may be used.

