Katalog CVE

CVE-2026-12131

ŚrednieCVSS 6.3
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.25%

Percentyl 16 — wyżej niż 16% wszystkich znanych CVE

Streszczenie

W systemie CodeAstro Human Resource Management System 1.0 wykryto podatność na iniekcję SQL w module faktur płacowych. Luka występuje w funkcji Invoice pliku Payroll.php, gdzie argument ID jest podatny na manipulację. Atak może być przeprowadzony zdalnie, a publicznie dostępny exploit umożliwia jego wykorzystanie.

Ocena ryzyka

Ryzyko polega na możliwości zdalnego wykonania nieautoryzowanych zapytań SQL, co może prowadzić do wycieku, modyfikacji lub usunięcia danych w bazie systemu HR.

Rekomendacja

Należy natychmiast zaktualizować system do najnowszej wersji lub zastosować poprawkę zabezpieczającą. W międzyczasie zaleca się walidację i sanityzację danych wejściowych w parametrze ID oraz wdrożenie zapory aplikacyjnej (WAF).

Oryginalny opis (angielski, źródło NVD)

A weakness has been identified in CodeAstro Human Resource Management System 1.0. This vulnerability affects the function Invoice of the file \application\controllers\Payroll.php of the component Payroll Invoice Module. This manipulation of the argument ID causes sql injection. Remote exploitation of the attack is possible. The exploit has been made available to the public and could be used for attacks.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS