Katalog CVE

CVE-2018-25387

Średnie
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

HaPe PKH w wersji 1.1 zawiera podatność na atak typu cross-site request forgery (CSRF), która umożliwia atakującym zmianę haseł administratorów poprzez wysyłanie sfałszowanych żądań do punktu aktualizacji użytkownika. Atakujący mogą tworzyć złośliwe formularze, które celują w skrypt aksi_user.php z parametrami takimi jak id_user, hasło i poziom, aby modyfikować dane logowania administratorów bez autoryzacji.

Ocena ryzyka

Podatność ta stwarza poważne ryzyko dla bezpieczeństwa organizacji, ponieważ umożliwia nieautoryzowanym użytkownikom zmianę haseł administratorów, co może prowadzić do przejęcia kontroli nad systemem. W konsekwencji, atakujący mogą uzyskać dostęp do wrażliwych danych i zasobów.

Rekomendacja

Zaleca się wdrożenie mechanizmów ochrony przed atakami CSRF, takich jak tokeny CSRF, oraz regularne aktualizowanie oprogramowania do najnowszych wersji, aby zminimalizować ryzyko wykorzystania tej podatności.

Oryginalny opis (angielski, źródło NVD)

HaPe PKH 1.1 contains a cross-site request forgery vulnerability that allows attackers to change administrator passwords by submitting forged requests to the user update endpoint. Attackers can craft malicious forms targeting the aksi_user.php script with parameters like id_user, password, and level to modify admin credentials without authentication.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS