CVE-2025-59524

Nome do Software Vulnerável e Versões Afetadas Versões do Horilla anteriores à 1.4.0

Descrição O Horilla, um Sistema de Gestão de Recursos Humanos (HRMS), apresenta uma falha em que o processo de upload de arquivos carece de validação no lado do servidor. A validação no lado do cliente pode ser contornada, permitindo que um invasor faça o upload de um documento HTML executável. Quando um usuário privilegiado visualiza este arquivo, scripts incorporados são executados, enviando cookies de sessão ou outras credenciais para um endpoint controlado pelo invasor. O invasor pode então usar essas credenciais para se passar pelo administrador. O fluxo vulnerável envolve o upload de um arquivo e a posterior visualização do conteúdo carregado por um usuário privilegiado. O ataque baseia-se em contornar as verificações no lado do cliente e explorar a falta de imposição no lado do servidor.

Recomendações Atualize para a versão 1.4.0 ou posterior.