CRITICAL🇬🇧 English

CVE-2024-8584

Orca HCM: brak uwierzytelnienia umożliwia tworzenie kont administratora

CVSS 9.8v3.1pub. 2024-09-09upd. 2025-02-17

Orca HCM firmy LEARNING DIGITAL zawiera podatność typu Missing Authentication, która pozwala nieuwierzytelnionemu atakującemu zdalnie utworzyć konto z uprawnieniami administratora. Podatność jest krytyczna, ponieważ nie wymaga żadnych poświadczeń ani interakcji użytkownika.

Pokaż oryginał (EN)

Orca HCM from LEARNING DIGITAL has an Missing Authentication vulnerability, allowing unauthenticated remote attacker to exploit this functionality to create an account with administrator privilege and subsequently use it to log in.

🤖 Analiza AI
Jak działa

Atakujący może bez uwierzytelnienia wywołać funkcję systemu Orca HCM odpowiedzialną za tworzenie kont użytkowników. Brak mechanizmu weryfikacji tożsamości na tym endpoincie umożliwia dowolnej osobie zdalnie zarejestrować nowe konto z poziomem uprawnień administratora. Po utworzeniu takiego konta atakujący może zalogować się do systemu i uzyskać pełną kontrolę nad aplikacją.

Skutki

Atakujący uzyskuje pełny dostęp administracyjny do systemu HCM, co umożliwia przejęcie kontroli nad danymi pracowników, modyfikację konfiguracji oraz potencjalne dalsze działania w infrastrukturze organizacji.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami (TWCERT: https://www.twcert.org.tw/en/cp-139-8040-948ef-2.html). Do czasu aktualizacji zaleca się ograniczenie dostępu sieciowego do systemu Orca HCM wyłącznie do zaufanych sieci lub adresów IP oraz monitorowanie logów pod kątem podejrzanych rejestracji nowych kont.

Kogo dotyczy

Orca HCM produkcji LEARNING DIGITAL — wersje wskazane w referencjach producenta (TWCERT)

Uwagi

Podatność zgłoszona i opublikowana przez Taiwan CERT (TWCERT/CC). Identyfikatory TWCERT wskazane w referencjach: cp-139-8040 oraz cp-132-8039.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Learningdigital Orca Hcm

    APP
    Learningdigital
    < 11.0
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2025-1387CRITICAL9.8PL ✓ten sam produkt

Orca HCM — Improper Authentication umożliwiające logowanie jako dowolny użytkownik

CVE-2021-35963CRITICAL9.8ten sam produkt

The specific parameter of upload function of the Orca HCM digital learning platform does not filter file forma...

CVE-2021-35965CRITICAL9.8ten sam produkt

The Orca HCM digital learning platform uses a weak factory default administrator password, which is hard-coded...

CVE-2025-1389HIGH8.8ten sam produkt

Orca HCM from Learning Digital has a SQL Injection vulnerability, allowing attackers with regular privileges t...

CVE-2025-1388HIGH8.8ten sam produkt

Orca HCM from LEARNING DIGITAL has an Arbitrary File Upload vulnerability, allowing remote attackers with regu...