Katalog CVE

CVE-2026-13525

ŚrednieCVSS 6.3
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.20%

Percentyl 10 — wyżej niż 10% wszystkich znanych CVE

Streszczenie

W systemie CodeAstro Human Resource Management System 1.0 wykryto podatność SQL Injection w funkcji emselectByCode pliku Employee_model.php. Atak polega na manipulacji argumentem emid w punkcie końcowym Update_Earn_Leave. Luka może być wykorzystana zdalnie, a exploit jest publicznie dostępny.

Ocena ryzyka

Organizacja narażona jest na nieautoryzowany dostęp do bazy danych, wyciek wrażliwych danych osobowych pracowników oraz potencjalną modyfikację lub usunięcie danych.

Rekomendacja

Należy natychmiast zastosować łatkę od producenta lub tymczasowo wyłączyć punkt końcowy Update_Earn_Leave. W przypadku braku aktualizacji zaleca się wdrożenie walidacji wejścia i użycie sparametryzowanych zapytań SQL.

Oryginalny opis (angielski, źródło NVD)

A vulnerability was detected in CodeAstro Human Resource Management System 1.0. This issue affects the function emselectByCode of the file application/models/Employee_model.php of the component Update_Earn_Leave Endpoint. The manipulation of the argument emid results in sql injection. The attack can be launched remotely. The exploit is now public and may be used.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS