Katalog CVE

CVE-2018-25388

Wysokie
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

HaPe PKH w wersji 1.1 zawiera podatność na nieautoryzowane przesyłanie plików, która pozwala uwierzytelnionym atakującym na przesyłanie złośliwych plików poprzez obejście walidacji typu pliku. Atakujący mogą przesyłać pliki PHP przez różne punkty końcowe, w tym aksi_foto.php, aksi_user.php i aksi_kecamatan.php, co umożliwia wykonanie dowolnego kodu na serwerze.

Ocena ryzyka

Podatność ta stwarza poważne ryzyko dla organizacji, ponieważ umożliwia atakującym zdalne wykonanie kodu, co może prowadzić do przejęcia kontroli nad serwerem. Może to skutkować utratą danych, naruszeniem poufności oraz uszkodzeniem reputacji organizacji.

Rekomendacja

Zaleca się natychmiastowe zaktualizowanie HaPe PKH do najnowszej wersji, która naprawia tę podatność. Dodatkowo, należy wdrożyć dodatkowe mechanizmy zabezpieczeń, takie jak restrykcje dotyczące przesyłania plików oraz monitorowanie aktywności na serwerze.

Oryginalny opis (angielski, źródło NVD)

HaPe PKH 1.1 contains an arbitrary file upload vulnerability that allows authenticated attackers to upload malicious files by bypassing file type validation. Attackers can upload PHP files through multiple endpoints including aksi_foto.php, aksi_user.php, and aksi_kecamatan.php to execute arbitrary code on the server.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS