漏洞信息详情

OrangeHRM 跨站脚本漏洞

• CNNVD编号：CNNVD-201403-056
• 危害等级： 中危
  
• CVE编号： CVE-2014-100021
• 漏洞类型： 跨站脚本
• 发布时间： 2014-02-28
• 威胁类型： 远程
• 更新时间： 2015-01-15
• 厂        商： orangehrm
• 漏洞来源： HauntIT

漏洞简介

OrangeHRM是美国OrangeHRM公司的一套全面的人力资源管理系统（HRM）。该系统支持雇员资料管理、员工自服务、考勤等。

OrangeHRM 3.1.2之前版本的symfony/web/index.php/pim/viewEmployeeList中存在跨站脚本漏洞。远程攻击者可借助‘empsearch[employee_name][empId]’参数利用该漏洞注入任意Web脚本或HTML。

漏洞公告

目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接：

http://www.orangehrm.com/OrangeHRM_Download_Software

参考网址

来源:SECUNIA

链接:http://secunia.com/advisories/57206

来源:hauntit.blogspot.com

链接:http://hauntit.blogspot.com/2014/02/en-xss-in-orangehrm.HTML

来源:sourceforge.net

链接:http://sourceforge.net/projects/orangehrm/files/stable/3.1.2/

来源: BID

链接:http://www.securityfocus.com/bid/65904

受影响实体

• Orangehrm Orangehrm:3.1.1  

补丁

暂无