CVE-2026-38568 in HireFlowinformation

Résumé

par VulDB • 11/05/2026

HireFlow v1.2 est vulnérable à un Contrôle d'accès incorrect. L'application n'impose pas d'autorisation au niveau des objets sur les points de terminaison /candidate/ et /interview/. Les gestionnaires de routes récupèrent les enregistrements à l'aide de l'ID fourni par l'utilisateur sans vérifier si l'utilisateur demandeur est le propriétaire ou dispose d'un rôle autorisé. Tout utilisateur authentifié peut accéder aux profils de candidats et aux notes d'entretien de tout autre utilisateur en itérant l'ID entier dans le chemin de l'URL, ce qui constitue une élévation de privilèges horizontale et une violation complète des données de tous les enregistrements du système.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsable

MITRE

Réserver

06/04/2026

Divulgation

11/05/2026

Modérer

accepté

Entrée

VDB-362691

CPE

prêt

EPSS

0.00030

KEV

non

Activités

très faible

Sources

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-38568
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-38568
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-38568/

PrécédentAperçuSuivant

Want to know what is going to be exploited?

We predict KEV entries!