OrangeHRM up to 2.6.12.1 跨站脚本攻击

admin

0
文章

0
评论

2023-12-06 19:53:16 Ali_nvd 来源：ZONE.CI 全球网 0 阅读模式

OrangeHRM up to 2.6.12.1 跨站脚本攻击

CVE编号

CVE-2012-1507

利用情况

暂无

补丁情况

N/A

披露时间

2014-09-18

漏洞描述

OrangeHRM是一个开源的人力资源管理工具，功能包括雇员资料管理、员工自服务系统、考勤、津贴以及招聘等功能。OrangeHRM存在跨站脚本漏洞。由于传递给plugins/ajaxCalls/haltResumeHsp.php脚本中的"newHspStatus"参数，"templates/hrfunct/emppop.php"脚本中的"sortOrder1"参数，"index.php"脚本的"uri"参数的输入在返回用户之前缺少过滤，可被利用进行跨站脚本攻击，攻击者构建恶意WEB页，诱使用户解析，可获得敏感信息或劫持用户会话。

解决建议

OrangeHRM 2.7 Stable Release已经修复此漏洞，建议用户下载使用：http://www.orangehrm.com/

参考链接
http://blog.orangehrm.com/2012/04/24/orangehrm-27-stable-release-with-complet...
http://osvdb.org/81744
http://osvdb.org/81745
http://osvdb.org/81746
http://secunia.com/advisories/49072
http://www.securityfocus.com/bid/53433
https://exchange.xforce.ibmcloud.com/vulnerabilities/75473
https://www.htbridge.com/advisory/HTB23080

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	orangehrm	orangehrm	*		Up to (including) 2.6.12.1
	运行在以下环境
	应用	orangehrm	orangehrm	2.6	-
	运行在以下环境
	应用	orangehrm	orangehrm	2.6.0	-
	运行在以下环境
	应用	orangehrm	orangehrm	2.6.0.1	-
	运行在以下环境
	应用	orangehrm	orangehrm	2.6.1	-
	运行在以下环境
	应用	orangehrm	orangehrm	2.6.10	-
	运行在以下环境
	应用	orangehrm	orangehrm	2.6.11	-
	运行在以下环境
	应用	orangehrm	orangehrm	2.6.11.2	-
	运行在以下环境
	应用	orangehrm	orangehrm	2.6.11.3	-
	运行在以下环境
	应用	orangehrm	orangehrm	2.6.12	-
	运行在以下环境
	应用	orangehrm	orangehrm	2.6.2	-
	运行在以下环境
	应用	orangehrm	orangehrm	2.6.3	-
	运行在以下环境
	应用	orangehrm	orangehrm	2.6.4	-
	运行在以下环境
	应用	orangehrm	orangehrm	2.6.5	-
	运行在以下环境
	应用	orangehrm	orangehrm	2.6.6	-
	运行在以下环境
	应用	orangehrm	orangehrm	2.6.7	-
	运行在以下环境
	应用	orangehrm	orangehrm	2.6.8	-
	运行在以下环境
	应用	orangehrm	orangehrm	2.6.8.1	-
	运行在以下环境
	应用	orangehrm	orangehrm	2.6.9	-