2024-01-16 02:46:17 YS 来源：ZONE.CI 全球网 0 阅读模式

> Orangehrm SQL注入漏洞

Orangehrm SQL注入漏洞

CNNVD-ID编号	CNNVD-202101-244	CVE编号	CVE-2020-29437
发布时间	2021-01-05	更新时间	2021-01-12
漏洞类型	SQL注入	漏洞来源	N/A
危险等级	高危	威胁类型	远程
厂商	N/A

漏洞介绍

Orangehrm是美国Orangehrm公司的一套人力资源管理系统（HRM）。该系统支持人事信息管理、休假管理、考勤管理和招聘管理等功能。

OrangeHRM 版本 4.6 存在SQL注入漏洞，该漏洞允许远程身份验证的攻击者通过orangehrmBuzzPlugin/lib/dao/BuzzDao.php loadMorePostsForm[profileUserId]参数执行任意SQL命令。

漏洞补丁

目前厂商已发布升级了Orangehrm SQL注入漏洞的补丁，Orangehrm SQL注入漏洞的补丁获取链接：

https://github.com/orangehrm/orangehrm/releases

参考网址

来源:CONFIRM

链接：https://github.com/orangehrm/orangehrm/releases

来源:MISC

链接：https://www.horizon3.ai/disclosures/orangehrm-sqli.html

来源:MISC

链接：https://github.com/orangehrm/orangehrm/issues/695

来源:MISC

链接：https://github.com/orangehrm/orangehrm/pull/699

受影响实体

暂无

信息来源

http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-202101-244

本站原创文章转载请注明文章出处及链接，谢谢合作！

ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带

ZONE.CI 全球网

安全领域涉猎者-乌云独行地带

ZONE.CI 全球网

Plugins

WordPress

Web前端

设计资源

Orangehrm SQL注入漏洞

Orangehrm SQL注入漏洞

漏洞介绍

漏洞补丁

参考网址

受影响实体

信息来源

Orangehrm SQL注入漏洞

SolarWinds Web Help Desk 注入漏洞

Wolfssl wolfSSL 缓冲区错误漏洞

Wordpress Ithemes Security Plugin 处理逻辑错误漏洞

Siemens Mendix 跨站脚本漏洞

FasterXML jackson-databind 代码问题漏洞

WordPress Ultimate Member plugin 输入验证错误漏洞

WordPress Ninja Forms plugin 访问控制错误漏洞

WordPress Ninja Forms plugin 跨站请求伪造漏洞

Proofpoint Insider Threat Management Windows Agent 代码问题漏洞

ZONE.CI 全球网