CVE-2026-13537
ŚrednieCVSS 4.3Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 6 — wyżej niż 6% wszystkich znanych CVE
Streszczenie
W systemie CodeAstro Human Resource Management System 1.0 wykryto podatność na fałszerstwo żądania międzywitrynowego (CSRF). Nieznana funkcja systemu umożliwia atakującemu zdalne wykonanie nieautoryzowanych działań w imieniu uwierzytelnionego użytkownika. Exploit został opublikowany i może być wykorzystany w praktyce.
Ocena ryzyka
Atak CSRF może pozwolić na wykonanie nieautoryzowanych operacji w systemie HR, takich jak modyfikacja danych pracowników czy zmiana konfiguracji, co zagraża integralności i poufności danych organizacji.
Rekomendacja
Należy natychmiast zaktualizować system do najnowszej wersji lub zastosować łatkę od producenta. W międzyczasie wdrożyć mechanizmy ochrony CSRF, takie jak tokeny anty-CSRF i sprawdzanie nagłówka Origin.
Oryginalny opis (angielski, źródło NVD)
A vulnerability was found in CodeAstro Human Resource Management System 1.0. Impacted is an unknown function. The manipulation results in cross-site request forgery. The attack may be launched remotely. The exploit has been made public and could be used.

