CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2018-25387

Medium
Published: Translated: NVD NIST

Summary

HaPe PKH w wersji 1.1 zawiera podatność na atak typu cross-site request forgery (CSRF), która umożliwia atakującym zmianę haseł administratorów poprzez wysyłanie sfałszowanych żądań do punktu aktualizacji użytkownika. Atakujący mogą tworzyć złośliwe formularze, które celują w skrypt aksi_user.php z parametrami takimi jak id_user, hasło i poziom, aby modyfikować dane logowania administratorów bez autoryzacji.

Risk Assessment

Podatność ta stwarza poważne ryzyko dla bezpieczeństwa organizacji, ponieważ umożliwia nieautoryzowanym użytkownikom zmianę haseł administratorów, co może prowadzić do przejęcia kontroli nad systemem. W konsekwencji, atakujący mogą uzyskać dostęp do wrażliwych danych i zasobów.

Recommendation

Zaleca się wdrożenie mechanizmów ochrony przed atakami CSRF, takich jak tokeny CSRF, oraz regularne aktualizowanie oprogramowania do najnowszych wersji, aby zminimalizować ryzyko wykorzystania tej podatności.

Original NVD description (English source)

HaPe PKH 1.1 contains a cross-site request forgery vulnerability that allows attackers to change administrator passwords by submitting forged requests to the user update endpoint. Attackers can craft malicious forms targeting the aksi_user.php script with parameters like id_user, password, and level to modify admin credentials without authentication.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS