OrangeHRM is a comprehensive human resource management (HRM) system. From 5.0 to 5.8, OrangeHRM Open Source allowed authenticated users to bypass disabled-module access controls via URL-encoded request paths and access functionality of modules disabled by an administrator. This vulnerability is fixed in 5.8.1.
OrangeHRM versions 5.0-5.8 allow authenticated users to bypass access controls on disabled modules through URL-encoded request paths. This enables unauthorized access to administrative-disabled functionality, affecting organizations using vulnerable versions.
يسمح هذا الثغر للمستخدمين المصرحين بتجاوز قيود الوصول على الوحدات المعطلة من قبل المسؤولين باستخدام تقنيات تشفير URL. يمكن للمهاجمين الداخليين الوصول إلى وظائف حساسة يجب أن تكون معطلة بموجب سياسة المنظمة.
إصدارات OrangeHRM من 5.0 إلى 5.8 تسمح للمستخدمين المصرحين بتجاوز عناصر التحكم في الوصول للوحدات المعطلة من خلال مسارات الطلب المشفرة بـ URL. يؤثر هذا على المنظمات التي تستخدم الإصدارات الضعيفة.
Upgrade OrangeHRM to version 5.8.1 or later immediately. Implement network-level access controls to restrict module functionality. Review user access logs for suspicious module access attempts. Disable unnecessary modules and enforce principle of least privilege for user accounts.
قم بترقية OrangeHRM إلى الإصدار 5.8.1 أو أحدث فوراً. طبق عناصر تحكم في الوصول على مستوى الشبكة لتقييد وظائف الوحدات. راجع سجلات الوصول للمستخدمين بحثاً عن محاولات وصول مريبة للوحدات. عطل الوحدات غير الضرورية وفرض مبدأ أقل صلاحية للحسابات.