Orangehrm

Orangehrm

31 Schwachstellen gefunden.

Hinweis: Diese Liste kann unvollständig sein. Daten werden ohne Gewähr im Ursprungsformat bereitgestellt.
8.8

CVE-2019-12839

Exploit
  • EPSS 2.12%
  • Veröffentlicht 15.06.2019 20:29:00
  • Zuletzt bearbeitet 21.11.2024 04:23:41

In OrangeHRM 4.3.1 and before, there is an input validation error within admin/listMailConfiguration (txtSendmailPath parameter) that allows authenticated attackers to achieve arbitrary command execution.

4.3

CVE-2014-100021

Exploit
  • EPSS 0.29%
  • Veröffentlicht 13.01.2015 15:59:10
  • Zuletzt bearbeitet 12.04.2025 10:46:40

Cross-site scripting (XSS) vulnerability in symfony/web/index.php/pim/viewEmployeeList in OrangeHRM before 3.1.2 allows remote attackers to inject arbitrary web script or HTML via the empsearch[employee_name][empId] parameter.

4.3

CVE-2012-1507

Exploit
  • EPSS 10.95%
  • Veröffentlicht 17.09.2014 14:55:03
  • Zuletzt bearbeitet 12.04.2025 10:46:40

Multiple cross-site scripting (XSS) vulnerabilities in OrangeHRM before 2.7 allow remote attackers to inject arbitrary web script or HTML via the (1) newHspStatus parameter to plugins/ajaxCalls/haltResumeHsp.php, (2) sortOrder1 parameter to templates...

6.5

CVE-2012-1506

Exploit
  • EPSS 3.06%
  • Veröffentlicht 17.09.2014 14:55:03
  • Zuletzt bearbeitet 12.04.2025 10:46:40

SQL injection vulnerability in the updateStatus function in lib/models/benefits/Hsp.php in OrangeHRM before 2.7 allows remote authenticated users to execute arbitrary SQL commands via the hspSummaryId parameter to plugins/ajaxCalls/haltResumeHsp.php....

6.8

CVE-2011-5259

Exploit
  • EPSS 1.85%
  • Veröffentlicht 12.02.2013 20:55:02
  • Zuletzt bearbeitet 11.04.2025 00:51:21

SQL injection vulnerability in lib/controllers/CentralController.php in OrangeHRM before 2.6.11.2 allows remote attackers to execute arbitrary SQL commands via the id parameter.

4.3

CVE-2011-5258

Exploit
  • EPSS 6.5%
  • Veröffentlicht 12.02.2013 20:55:02
  • Zuletzt bearbeitet 11.04.2025 00:51:21

Multiple cross-site scripting (XSS) vulnerabilities in OrangeHRM before 2.6.11.2 allow remote attackers to inject arbitrary web script or HTML via the (1) uniqcode or (2) isAdmin parameter to index.php; or the (3) PATH_INFO to lib/controllers/central...

6

CVE-2012-5367

Exploit
  • EPSS 1.46%
  • Veröffentlicht 03.12.2012 21:55:01
  • Zuletzt bearbeitet 11.04.2025 00:51:21

Multiple SQL injection vulnerabilities in OrangeHRM 2.7.1 RC 1 allow remote authenticated administrators to execute arbitrary SQL commands via the sortField parameter to (1) viewCustomers, (2) viewPayGrades, or (3) viewSystemUsers in symfony/web/inde...

5

CVE-2011-3766

  • EPSS 0.32%
  • Veröffentlicht 24.09.2011 00:55:01
  • Zuletzt bearbeitet 11.04.2025 00:51:21

OrangeHRM 2.6.0.2 allows remote attackers to obtain sensitive information via a direct request to a .php file, which reveals the installation path in an error message, as demonstrated by themes/orange/menu/Menu.php and certain other files.

6.8

CVE-2010-4798

Exploit
  • EPSS 1.11%
  • Veröffentlicht 27.04.2011 00:55:03
  • Zuletzt bearbeitet 11.04.2025 00:51:21

Directory traversal vulnerability in index.php in OrangeHRM 2.6.0.1 allows remote attackers to include and execute arbitrary local files via directory traversal sequences in the uri parameter.

5

CVE-2007-5931

  • EPSS 0.38%
  • Veröffentlicht 10.11.2007 11:46:00
  • Zuletzt bearbeitet 09.04.2025 00:30:58

The reDirect function in lib/controllers/RepViewController.php in OrangeHRM before 2.2.2 does not verify the privileges of a user, which allows remote attackers to obtain access to data via unspecified vectors. NOTE: the provenance of this informati...