Katalog CVE

CVE-2018-25389

Wysokie
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

HaPe PKH w wersji 1.1 zawiera podatność typu SQL injection, która pozwala nieautoryzowanym atakującym na manipulację zapytaniami do bazy danych poprzez wstrzykiwanie kodu SQL za pomocą parametru 'nama_kelompok' w żądaniu POST wysyłanym do lap-anggota-kelompok-pdf.php. Atakujący mogą wysłać spreparowane żądanie z ładunkiem opartym na czasie, aby wydobyć wrażliwe informacje z bazy danych.

Ocena ryzyka

Podatność ta stwarza ryzyko ujawnienia wrażliwych danych z bazy danych, co może prowadzić do poważnych konsekwencji dla bezpieczeństwa organizacji. Nieautoryzowany dostęp do danych może skutkować utratą poufności i integralności informacji.

Rekomendacja

Zaleca się aktualizację do najnowszej wersji HaPe PKH, która eliminuje tę podatność. Dodatkowo, warto wdrożyć mechanizmy zabezpieczające, takie jak walidacja danych wejściowych i ograniczenie dostępu do krytycznych zasobów.

Oryginalny opis (angielski, źródło NVD)

HaPe PKH 1.1 contains an SQL injection vulnerability that allows unauthenticated attackers to manipulate database queries by injecting SQL code through the 'nama_kelompok' POST parameter sent to lap-anggota-kelompok-pdf.php. Attackers can send a crafted request with a time-based blind payload to infer and extract sensitive database information.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS