CVE-2018-25388
HighSummary
HaPe PKH w wersji 1.1 zawiera podatność na nieautoryzowane przesyłanie plików, która pozwala uwierzytelnionym atakującym na przesyłanie złośliwych plików poprzez obejście walidacji typu pliku. Atakujący mogą przesyłać pliki PHP przez różne punkty końcowe, w tym aksi_foto.php, aksi_user.php i aksi_kecamatan.php, co umożliwia wykonanie dowolnego kodu na serwerze.
Risk Assessment
Podatność ta stwarza poważne ryzyko dla organizacji, ponieważ umożliwia atakującym zdalne wykonanie kodu, co może prowadzić do przejęcia kontroli nad serwerem. Może to skutkować utratą danych, naruszeniem poufności oraz uszkodzeniem reputacji organizacji.
Recommendation
Zaleca się natychmiastowe zaktualizowanie HaPe PKH do najnowszej wersji, która naprawia tę podatność. Dodatkowo, należy wdrożyć dodatkowe mechanizmy zabezpieczeń, takie jak restrykcje dotyczące przesyłania plików oraz monitorowanie aktywności na serwerze.
Original NVD description (English source)
HaPe PKH 1.1 contains an arbitrary file upload vulnerability that allows authenticated attackers to upload malicious files by bypassing file type validation. Attackers can upload PHP files through multiple endpoints including aksi_foto.php, aksi_user.php, and aksi_kecamatan.php to execute arbitrary code on the server.

