CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2018-25390

High
Published: Translated: NVD NIST

Summary

HaPe PKH w wersji 1.1 zawiera podatność na wstrzykiwanie SQL, która pozwala nieautoryzowanym atakującym manipulować zapytaniami do bazy danych poprzez wstrzykiwanie kodu SQL za pomocą parametru POST 'desa' wysyłanego do lap-peserta-perdesa-pdf.php. Atakujący mogą wysłać spreparowane żądanie z ładunkiem opartym na czasie, aby wydobyć wrażliwe informacje z bazy danych.

Risk Assessment

Podatność ta stwarza ryzyko ujawnienia wrażliwych danych z bazy danych, co może prowadzić do poważnych konsekwencji dla organizacji, w tym utraty danych i naruszenia prywatności użytkowników.

Recommendation

Zaleca się aktualizację do najnowszej wersji HaPe PKH oraz wdrożenie zabezpieczeń, takich jak walidacja danych wejściowych i stosowanie parametrów w zapytaniach SQL, aby zminimalizować ryzyko wstrzykiwania SQL.

Original NVD description (English source)

HaPe PKH 1.1 contains an SQL injection vulnerability that allows unauthenticated attackers to manipulate database queries by injecting SQL code through the 'desa' POST parameter sent to lap-peserta-perdesa-pdf.php. Attackers can send a crafted request with a time-based blind payload to infer and extract sensitive database information.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS