Katalog CVE

CVE-2018-25386

Wysokie
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

HaPe PKH w wersji 1.1 zawiera wiele podatności typu SQL injection w pliku admin/media.php, które pozwalają atakującym na manipulację zapytaniami do bazy danych poprzez wstrzykiwanie kodu SQL przez parametr 'id'. Atakujący nieautoryzowany może wykorzystać moduł desa, podczas gdy użytkownicy autoryzowani mogą wykorzystać moduły pengurus, fasilitas i kelompok.

Ocena ryzyka

Sukcesywne wykorzystanie tych podatności może prowadzić do wycieku wrażliwych informacji z bazy danych, takich jak dane bieżącego użytkownika, nazwa bazy danych oraz wersja systemu zarządzania bazą danych (DBMS).

Rekomendacja

Zaleca się aktualizację do najnowszej wersji HaPe PKH oraz wdrożenie odpowiednich środków zabezpieczających, aby zminimalizować ryzyko ataków SQL injection.

Oryginalny opis (angielski, źródło NVD)

HaPe PKH 1.1 contains multiple SQL injection vulnerabilities in admin/media.php that allow attackers to manipulate database queries by injecting SQL code through the 'id' parameter. An unauthenticated attacker can exploit the desa module (module=desa&act=hapus), while authenticated users can exploit the pengurus, fasilitas, and kelompok modules (for example act=print, act=editpengurus, act=editfasilitas, and act=editkelompok). Successful exploitation allows extraction of sensitive database information including the current user, database name, and DBMS version.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS