CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2018-25386

High
Published: Translated: NVD NIST

Summary

HaPe PKH w wersji 1.1 zawiera wiele podatności typu SQL injection w pliku admin/media.php, które pozwalają atakującym na manipulację zapytaniami do bazy danych poprzez wstrzykiwanie kodu SQL przez parametr 'id'. Atakujący nieautoryzowany może wykorzystać moduł desa, podczas gdy użytkownicy autoryzowani mogą wykorzystać moduły pengurus, fasilitas i kelompok.

Risk Assessment

Sukcesywne wykorzystanie tych podatności może prowadzić do wycieku wrażliwych informacji z bazy danych, takich jak dane bieżącego użytkownika, nazwa bazy danych oraz wersja systemu zarządzania bazą danych (DBMS).

Recommendation

Zaleca się aktualizację do najnowszej wersji HaPe PKH oraz wdrożenie odpowiednich środków zabezpieczających, aby zminimalizować ryzyko ataków SQL injection.

Original NVD description (English source)

HaPe PKH 1.1 contains multiple SQL injection vulnerabilities in admin/media.php that allow attackers to manipulate database queries by injecting SQL code through the 'id' parameter. An unauthenticated attacker can exploit the desa module (module=desa&act=hapus), while authenticated users can exploit the pengurus, fasilitas, and kelompok modules (for example act=print, act=editpengurus, act=editfasilitas, and act=editkelompok). Successful exploitation allows extraction of sensitive database information including the current user, database name, and DBMS version.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS