CVE-2018-25391
HighSummary
HaPe PKH w wersji 1.1 nie wymusza autoryzacji na punktach końcowych usuwania rekordów, co pozwala nieautoryzowanym atakującym na usunięcie dowolnych rekordów poprzez wysłanie spreparowanego żądania z identyfikatorem docelowego rekordu. Punkty końcowe admin/modul/mod_pengurus/aksi_pengurus.php oraz admin/modul/mod_update/aksi_update.php przetwarzają usunięcia bez weryfikacji uprawnień żądającego.
Risk Assessment
Brak weryfikacji uprawnień może prowadzić do nieautoryzowanego usunięcia ważnych rekordów, w tym danych administratorów, co stwarza poważne zagrożenie dla integralności systemu.
Recommendation
Zaleca się wprowadzenie odpowiednich mechanizmów autoryzacji na punktach końcowych usuwania rekordów, aby zapewnić, że tylko uprawnieni użytkownicy mogą wykonywać takie operacje.
Original NVD description (English source)
HaPe PKH 1.1 fails to enforce authorization on its record deletion endpoints, allowing unauthenticated attackers to delete arbitrary records by sending a crafted request that specifies the target record's id. The admin/modul/mod_pengurus/aksi_pengurus.php (module=pengurus&act=hapus) and admin/modul/mod_update/aksi_update.php (module=update&act=hapus) endpoints process deletions without verifying the requester's privileges, enabling removal of pengurus (administrator) and update records.

