CVE-2024-8585 – LEARNING DIGITAL Orca HCM - Arbitrary File Download
https://notcve.org/view.php?id=CVE-2024-8585
Orca HCM from LEARNING DIGITA does not properly restrict a specific parameter of the file download functionality, allowing a remote attacker with regular privileges to download arbitrary system files. • https://www.twcert.org.tw/en/cp-139-8042-f9f26-2.html https://www.twcert.org.tw/tw/cp-132-8041-dfbf9-1.html • CWE-22: Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') •
CVE-2021-35968 – Learningdigital.com, Inc. Orca HCM - Path Traversal-2
https://notcve.org/view.php?id=CVE-2021-35968
The directory list page parameter of the Orca HCM digital learning platform fails to filter special characters properly. Remote attackers can access the system directory thru Path Traversal with users’ privileges. El parámetro directory list page de la plataforma de aprendizaje digital Orca HCM no filtra correctamente los caracteres especiales. Unos atacantes remotos pueden acceder al directorio del sistema a través de Salto de Ruta con privilegios de usuario • https://www.chtsecurity.com/news/ba7b3ae7-14f3-4970-b3f6-4d97d8c7ea25 https://www.twcert.org.tw/tw/cp-132-4928-7e87b-1.html • CWE-22: Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') •
CVE-2021-35967 – Learningdigital.com, Inc. Orca HCM - Path Traversal-1
https://notcve.org/view.php?id=CVE-2021-35967
The directory page parameter of the Orca HCM digital learning platform does not filter special characters. Remote attackers can access the system directory thru Path Traversal without logging in. El parámetro directory page de la plataforma de aprendizaje digital Orca HCM no filtra los caracteres especiales. Unos atacantes remotos pueden acceder al directorio del sistema a través de Salto de Ruta sin iniciar sesión • https://www.chtsecurity.com/news/ba7b3ae7-14f3-4970-b3f6-4d97d8c7ea25 https://www.twcert.org.tw/tw/cp-132-4927-bbf01-1.html • CWE-22: Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') •
CVE-2021-35966 – Learningdigital.com, Inc. Orca HCM - URL Redirection to Untrusted Site ('Open Redirect')
https://notcve.org/view.php?id=CVE-2021-35966
The specific function of the Orca HCM digital learning platform does not filter input parameters properly, which causing the URL can be redirected to any website. Remote attackers can use the vulnerability to execute phishing attacks. La función específica de la plataforma de aprendizaje digital Orca HCM no filtra apropiadamente los parámetros de entrada, causando que la URL pueda ser redirigida a cualquier sitio web. Unos atacantes remotos pueden usar la vulnerabilidad para ejecutar ataques de phishing • https://www.chtsecurity.com/news/ba7b3ae7-14f3-4970-b3f6-4d97d8c7ea25 https://www.twcert.org.tw/tw/cp-132-4926-dc06b-1.html • CWE-601: URL Redirection to Untrusted Site ('Open Redirect') •
CVE-2021-35965 – Learningdigital.com, Inc. Orca HCM - Hard-code password
https://notcve.org/view.php?id=CVE-2021-35965
The Orca HCM digital learning platform uses a weak factory default administrator password, which is hard-coded in the source code of the webpage in plain text, thus remote attackers can obtain administrator’s privilege without logging in. La plataforma de aprendizaje digital Orca HCM usa una contraseña de administrador débil por defecto, que está embebida en el código fuente de la página web en texto plano, por lo que atacantes remotos pueden obtener el privilegio de administrador sin iniciar sesión • https://www.chtsecurity.com/news/ba7b3ae7-14f3-4970-b3f6-4d97d8c7ea25 https://www.twcert.org.tw/tw/cp-132-4925-86733-1.html • CWE-522: Insufficiently Protected Credentials CWE-1188: Initialization of a Resource with an Insecure Default •