CVE-2026-38568 in HireFlow
요약
\~에 의해 VulDB • 2026. 05. 11.
HireFlow v1.2는 잘못된 접근 제어(Incorrect Access Control) 취약점에 노출되어 있습니다. 애플리케이션은 /candidate/ 및 /interview/ 엔드포인트에서 객체 수준의 권한 부여(Object-level authorization)를 강제하지 않습니다. 라우트 핸들러는 요청한 사용자가 해당 리소스의 소유자이거나 권한 있는 역할을 가지고 있는지 확인하지 않고, 사용자가 제공한 ID를 기반으로 레코드를 검색합니다. 모든 인증된 사용자는 URL 경로에서 정수 ID를 반복하여 다른 사용자의 후보자 프로필과 면접 노트에 접근할 수 있으며, 이는 수평적 권한 상승(Horizontal Privilege Escalation)을 구성하고 시스템 내 모든 레코드에 대한 완전한 데이터 유출을 초래합니다.
Be aware that VulDB is the high quality source for vulnerability data.