从这个网页截图中,我们可以获取到以下关于漏洞的关键信息: 漏洞标题:Unauthenticated Arbitrary Unpublished Job Disclosure in Horilla HR Software ≥ 1.4.0 CVE ID:CVE-2026-24036 CVSS v3 基本指标: - 严重性:中等,评分为 5.3 / 10 - 攻击向量:网络 - 攻击复杂性:低 - 所需权限:无 - 用户交互:无 - 作用范围:不变 - 机密性影响:低 - 完整性影响:无 - 可用性影响:无 受影响的版本:Horilla HR Software ≥ 1.4.0 修复版本:1.5.0 漏洞描述: - 摘要:Horilla HR Software ≥ 1.4.0 通过 /recruitment/recruitment-details// 端点在无需身份验证的情况下暴露未发布的职位发布。响应包含草稿职位标题、描述和应用程序链接,允许未认证用户查看未发布的职位并访问这些职位的应用程序流程。 - 详情: 1. 导航到 并创建一个职位列表。 2. 将帖子的隐私设置为“未发布”。 3. 职位列表是“未发布的”,意味着用户应该无法访问该帖子。然后,导航到 。 4. 您将能够访问未发布的职位列表并“申请”职位。 - PoC:驱动器中的文件 - 影响:未经授权的用户能够访问未发布的职位帖子并申请这些职位可能导致候选人之间的混乱,增加不必要的HR工作量,并导致声誉损害。它还泄露敏感的内部信息,如即将进行的招聘计划、部门需求或项目细节,这些信息本不应公开。 弱项:CWE-284 报告人:WHOISshuvam