CVE-2018-25387
ŚrednieStreszczenie
HaPe PKH w wersji 1.1 zawiera podatność na atak typu cross-site request forgery (CSRF), która umożliwia atakującym zmianę haseł administratorów poprzez wysyłanie sfałszowanych żądań do punktu aktualizacji użytkownika. Atakujący mogą tworzyć złośliwe formularze, które celują w skrypt aksi_user.php z parametrami takimi jak id_user, hasło i poziom, aby modyfikować dane logowania administratorów bez autoryzacji.
Ocena ryzyka
Podatność ta stwarza poważne ryzyko dla bezpieczeństwa organizacji, ponieważ umożliwia nieautoryzowanym użytkownikom zmianę haseł administratorów, co może prowadzić do przejęcia kontroli nad systemem. W konsekwencji, atakujący mogą uzyskać dostęp do wrażliwych danych i zasobów.
Rekomendacja
Zaleca się wdrożenie mechanizmów ochrony przed atakami CSRF, takich jak tokeny CSRF, oraz regularne aktualizowanie oprogramowania do najnowszych wersji, aby zminimalizować ryzyko wykorzystania tej podatności.
Oryginalny opis (angielski, źródło NVD)
HaPe PKH 1.1 contains a cross-site request forgery vulnerability that allows attackers to change administrator passwords by submitting forged requests to the user update endpoint. Attackers can craft malicious forms targeting the aksi_user.php script with parameters like id_user, password, and level to modify admin credentials without authentication.

