CVE-2025-66224

Nome do Software Vulnerável e Versões Afetadas Versões do OrangeHRM 5.0 a 5.7

Descrição O OrangeHRM, um sistema de gestão de recursos humanos, contém uma falha de neutralização de entrada em seu fluxo de trabalho de configuração e entrega de e-mail. Valores controlados pelo usuário não são devidamente sanitizados antes de serem utilizados no comando sendmail do sistema. Isso permite a potencial invocação de comportamentos não intencionais do sendmail durante o processamento de e-mail, possibilitando que a aplicação escreva arquivos no servidor. Se esses arquivos forem colocados em locais acessíveis via web, isso pode levar à execução de conteúdo controlado pelo atacante. A causa raiz é a construção de strings de comando a nível do sistema operacional com entrada não sanitizada dentro da lógica de envio de e-mail.

Recomendações As versões do OrangeHRM 5.0 a 5.7 devem ser atualizadas para a versão 5.8 ou posterior.