OrangeHRM SQL注入漏洞

漏洞信息详情

OrangeHRM SQL注入漏洞

• CNNVD编号：CNNVD-201205-180
• 危害等级： 中危
  
  
• CVE编号：
  CVE-2012-1506
  
• 漏洞类型：
  
  
  SQL注入
  
• 发布时间：
  
  2012-05-11
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2014-09-18
  
• 厂        商：
  
  orangehrm
• 漏洞来源：

OrangeHRM是美国OrangeHRM公司的一套全面的人力资源管理系统（HRM）。该系统支持雇员资料管理、员工自服务、考勤等。

OrangeHRM 2.7之前版本的lib/models/benefits/Hsp.php脚本的‘updateStatus’函数中存在SQL注入漏洞，该漏洞源于plugins/ajaxCalls/haltResumeHsp.php脚本没有充分过滤‘hspSummaryId’参数。远程攻击者可利用该漏洞执行任意SQL命令。

目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接：

http://blog.orangehrm.com/2012/04/24/orangehrm-27-stable-release-with-complete-localization/

来源:SECUNIA

链接:http://secunia.com/advisories/49072

来源:OSVDB

链接:http://osvdb.org/81743

来源:XF

链接:http://xforce.iss.net/xforce/xfdb/75472

来源:www.htbridge.com

链接:https://www.htbridge.com/advisory/HTB23080

来源:blog.orangehrm.com

链接:http://blog.orangehrm.com/2012/04/24/orangehrm-27-stable-release-with-complete-localization/

来源:BID

链接:http://www.securityfocus.com/bid/53433

来源:SECUNIA

链接:http://secunia.com/advisories/49072