VDB-369111 · Submeter #834747 · CVE-2026-11491

CodeAstro Human Resource Management System 1.0 Notice Board Management /notice/All_notice Notice Title Script de Site Cruzado

CVSS Meta Pontuação Temporária	Preço atual do exploit (≈)	Nota de Interesse CTI
5.6	$0-$5k	0.00

Sumárioinformação

Uma vulnerabilidade foi encontrada em CodeAstro Human Resource Management System 1.0. Foi declarada como problemático. O impacto ocorre em uma função desconhecida no arquivo /notice/All_notice no componente Notice Board Management. A manipulação do argumento Notice Title com uma entrada desconhecida leva a Script de Site Cruzado. Esta vulnerabilidade é referenciada como CVE-2026-11491. O ataque pode ser levado a cabo através da rede. Adicionalmente, há um exploit disponível.

Detalhesinformação

Uma vulnerabilidade foi encontrada em CodeAstro Human Resource Management System 1.0. Foi declarada como problemático. O impacto ocorre em uma função desconhecida no arquivo /notice/All_notice no componente Notice Board Management. A manipulação do argumento Notice Title com uma entrada desconhecida leva a Script de Site Cruzado. Usar a CWE para declarar o problema leva à CWE-79. A fraqueza foi publicada por Ashik Mohamed (ashikmd7) como Security Advisory (GitHub). O aviso pode ser baixado em github.com. O vendedor cooperou na coordenação do lançamento público.

Esta vulnerabilidade é referenciada como CVE-2026-11491. O ataque pode ser levado a cabo através da rede. Informações técnicas estão acessíveis. A popularidade dessa vulnerabilidade é inferior à média. Adicionalmente, há um exploit disponível. O exploit foi tornado público e pode ser usado. No momento, o preço atual de um exploit pode estar em torno de USD $0-$5k atualmente. A técnica de ataque utilizada por esta edição é T1059.007 de acordo com MITRE ATT&CK.

É declarado como prova de conceito. É possível descarregar a exploração em github.com.

O boletim apresenta a seguinte observação:

Sanitize and HTML-Encode User-Supplied Notice Title Input Before Rendering. Restrict Notice Creation to Authorized Administrative Users and Implement Notice Deletion Functionality.

Produtoinformação

Tipo

Human Capital Management Software

Fabricante

CodeAstro

Nome

Human Resource Management System

Versão

Site

Fabricante: https://codeastro.com/

CPE 2.3informação

🔒

CPE 2.2informação

🔒

CVSSv4informação

VulDB Vetor: 🔒
VulDB Fiabilidade: 🔍

CVSSv3informação

VulDB Meta Pontuação Base: 6.0
VulDB Meta Pontuação Temporária: 5.6

VulDB Pontuação Base: 2.4
VulDB Pontuação Temporária: 2.2
VulDB Vetor: 🔒
VulDB Fiabilidade: 🔍

Pessoa Pontuação Base: 9.6
Pessoa Vetor: 🔒

CVSSv2informação

AV	AC	Au	C	I	A
💳	💳	💳	💳	💳	💳
💳	💳	💳	💳	💳	💳
💳	💳	💳	💳	💳	💳

Vector	Complexidade	Autenticação	Confidencialidade	Integridade	Disponibilidade
Desbloquear	Desbloquear	Desbloquear	Desbloquear	Desbloquear	Desbloquear
Desbloquear	Desbloquear	Desbloquear	Desbloquear	Desbloquear	Desbloquear
Desbloquear	Desbloquear	Desbloquear	Desbloquear	Desbloquear	Desbloquear

VulDB Pontuação Base: 🔒
VulDB Pontuação Temporária: 🔒
VulDB Fiabilidade: 🔍

Exploraçãoinformação

Classe: Script de Site Cruzado
CWE: CWE-79 / CWE-94 / CWE-74
CAPEC: 🔒
ATT&CK: 🔒

Físico: Não
Local: Não
Remoto: Sim

Disponibilidade: 🔒
Acesso: Público
Estado: Prova de conceito
Autor: Ashik Mohamed (ashikmd7)
Descarregar: 🔒

EPSS Score: 🔒
EPSS Percentile: 🔒

Tendência de preços: 🔍
Estimativa de preço atual: 🔒

0-Day	Desbloquear	Desbloquear	Desbloquear	Desbloquear
Hoje	Desbloquear	Desbloquear	Desbloquear	Desbloquear

Inteligência de ameaçasinformação

Interesse: 🔍
Atores ativos: 🔍
Grupos APT ativos: 🔍

Contramedidasinformação

Recomendação: nenhuma medida conhecida
Estado: 🔍

Tempo 0-dia: 🔒
Tempo de atraso de exploração: 🔍

Linha do tempoinformação

07/06/2026 Fabricante confirmou
07/06/2026 +0 dias Aviso publicado
07/06/2026 +0 dias Exploit publicado
07/06/2026 +0 dias Entrada VulDB criada
07/06/2026 +0 dias Última atualização da VulDB