CRITICAL🇬🇧 English

CVE-2025-1387

Orca HCM — Improper Authentication umożliwiające logowanie jako dowolny użytkownik

CVSS 9.8v3.1pub. 2025-02-17upd. 2025-11-17

Orca HCM firmy Learning Digital zawiera krytyczną podatność typu Improper Authentication, która pozwala nieuwierzytelnionemu atakującemu zalogować się do systemu jako dowolny użytkownik. Zagrożenie ma charakter zdalny i nie wymaga żadnych uprawnień ani interakcji ze strony ofiary.

Pokaż oryginał (EN)

Orca HCM from LEARNING DIGITAL has an Improper Authentication vulnerability, allowing unauthenticated remote attackers to log in to the system as any user.

🤖 Analiza AI
Jak działa

Podatność wynika z nieprawidłowej implementacji mechanizmu uwierzytelniania w aplikacji Orca HCM. Atakujący zdalnie, bez posiadania jakichkolwiek poświadczeń, może ominąć proces weryfikacji tożsamości i uzyskać dostęp do konta dowolnego użytkownika systemu. Brak wymagania autoryzacji (CWE-1390) oznacza, że mechanizm ochrony sesji lub tożsamości jest fundamentalnie wadliwy.

Skutki

Atakujący może przejąć kontrolę nad dowolnym kontem w systemie Orca HCM, w tym kontami administratorów, co prowadzi do pełnej utraty poufności, integralności i dostępności danych kadrowych przetwarzanych przez system.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami — szczegółowe informacje dostępne pod adresami opublikowanymi przez TWCERT: https://www.twcert.org.tw/en/cp-139-8428-59a9a-2.html oraz https://www.twcert.org.tw/tw/cp-132-8427-daea8-1.html

Kogo dotyczy

Orca HCM firmy Learning Digital — wersje wskazane w referencjach producenta (TWCERT)

Uwagi

Podatność zgłoszona i opublikowana przez TWCERT (Taiwan Computer Emergency Response Team). Data publikacji: 2025-02-17.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Learningdigital Orca Hcm

    APP
    Learningdigital
    < 11.0
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2024-8584CRITICAL9.8PL ✓ten sam produkt

Orca HCM: brak uwierzytelnienia umożliwia tworzenie kont administratora

CVE-2021-35963CRITICAL9.8ten sam produkt

The specific parameter of upload function of the Orca HCM digital learning platform does not filter file forma...

CVE-2021-35965CRITICAL9.8ten sam produkt

The Orca HCM digital learning platform uses a weak factory default administrator password, which is hard-coded...

CVE-2025-1389HIGH8.8ten sam produkt

Orca HCM from Learning Digital has a SQL Injection vulnerability, allowing attackers with regular privileges t...

CVE-2025-1388HIGH8.8ten sam produkt

Orca HCM from LEARNING DIGITAL has an Arbitrary File Upload vulnerability, allowing remote attackers with regu...

CVE-2025-1387 — Orca HCM — Improper Authentication umożliwiające logowanie jako dowolny użytkownik — CRITICAL 9.8 | CVEbaza.pl