CVE-2026-13525
ŚrednieCVSS 6.3Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 10 — wyżej niż 10% wszystkich znanych CVE
Streszczenie
W systemie CodeAstro Human Resource Management System 1.0 wykryto podatność SQL Injection w funkcji emselectByCode pliku Employee_model.php. Atak polega na manipulacji argumentem emid w punkcie końcowym Update_Earn_Leave. Luka może być wykorzystana zdalnie, a exploit jest publicznie dostępny.
Ocena ryzyka
Organizacja narażona jest na nieautoryzowany dostęp do bazy danych, wyciek wrażliwych danych osobowych pracowników oraz potencjalną modyfikację lub usunięcie danych.
Rekomendacja
Należy natychmiast zastosować łatkę od producenta lub tymczasowo wyłączyć punkt końcowy Update_Earn_Leave. W przypadku braku aktualizacji zaleca się wdrożenie walidacji wejścia i użycie sparametryzowanych zapytań SQL.
Oryginalny opis (angielski, źródło NVD)
A vulnerability was detected in CodeAstro Human Resource Management System 1.0. This issue affects the function emselectByCode of the file application/models/Employee_model.php of the component Update_Earn_Leave Endpoint. The manipulation of the argument emid results in sql injection. The attack can be launched remotely. The exploit is now public and may be used.

