Orca HCM firmy Learning Digital zawiera krytyczną podatność typu Improper Authentication, która pozwala nieuwierzytelnionemu atakującemu zalogować się do systemu jako dowolny użytkownik. Zagrożenie ma charakter zdalny i nie wymaga żadnych uprawnień ani interakcji ze strony ofiary.
▸ Pokaż oryginał (EN)
Orca HCM from LEARNING DIGITAL has an Improper Authentication vulnerability, allowing unauthenticated remote attackers to log in to the system as any user.
Podatność wynika z nieprawidłowej implementacji mechanizmu uwierzytelniania w aplikacji Orca HCM. Atakujący zdalnie, bez posiadania jakichkolwiek poświadczeń, może ominąć proces weryfikacji tożsamości i uzyskać dostęp do konta dowolnego użytkownika systemu. Brak wymagania autoryzacji (CWE-1390) oznacza, że mechanizm ochrony sesji lub tożsamości jest fundamentalnie wadliwy.
Atakujący może przejąć kontrolę nad dowolnym kontem w systemie Orca HCM, w tym kontami administratorów, co prowadzi do pełnej utraty poufności, integralności i dostępności danych kadrowych przetwarzanych przez system.
Należy zastosować patche dostępne u producenta zgodnie z referencjami — szczegółowe informacje dostępne pod adresami opublikowanymi przez TWCERT: https://www.twcert.org.tw/en/cp-139-8428-59a9a-2.html oraz https://www.twcert.org.tw/tw/cp-132-8427-daea8-1.html
Orca HCM firmy Learning Digital — wersje wskazane w referencjach producenta (TWCERT)
Podatność zgłoszona i opublikowana przez TWCERT (Taiwan Computer Emergency Response Team). Data publikacji: 2025-02-17.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HLearningdigital Orca Hcm
APPLearningdigital< 11.0
Powiązane podatności
Orca HCM: brak uwierzytelnienia umożliwia tworzenie kont administratora
The specific parameter of upload function of the Orca HCM digital learning platform does not filter file forma...
The Orca HCM digital learning platform uses a weak factory default administrator password, which is hard-coded...
Orca HCM from Learning Digital has a SQL Injection vulnerability, allowing attackers with regular privileges t...
Orca HCM from LEARNING DIGITAL has an Arbitrary File Upload vulnerability, allowing remote attackers with regu...