CVE-2026-24038: Schwachstelle in Horilla HRMS ermöglicht Umgehung der Zwei-Faktor-Authentifizierung

Zusammenfassung

In der Version 1.4.0 des quelloffenen HRMS-Systems Horilla gibt es eine Sicherheitslücke, die es Angreifern erlaubt, die Zwei-Faktor-Authentifizierung komplett zu umgehen. Ein fehlerhafter Vergleich des eingegebenen OTP-Codes mit dem vom Server erwarteten Wert führt dazu, dass der OTP-Check immer erfolgreich ist, selbst wenn kein gültiger Code eingegeben wird. Betreffen die Zielkonten Administratoren, können Angreifer so auf sensible Personaldaten zugreifen und das System weiter kompromittieren. Das Problem wurde in Version 1.5.0 behoben.

Horilla is a free and open source Human Resource Management System (HRMS). In version 1.4.0, the OTP handling logic has a flawed equality check that can be bypassed. When an OTP expires, the server returns None, and if an attacker omits the otp field from their POST request, the user-supplied OTP is also None, causing the comparison user_otp == otp to pass. This allows an attacker to bypass two-factor authentication entirely without ever providing a valid OTP. If administrative accounts are targeted, it could lead to compromise of sensitive HR data, manipulation of employee records, and further system-wide abuse. This issue has been fixed in version 1.5.0.