CVE-2025-45949
KrytyczneCVSS 9.8Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 34 - wyżej niż 34% wszystkich znanych CVE
Streszczenie
Krytyczna podatność w PHPGurukul User Registration & Login and User Management System V3.3 w pliku /loginsystem/change-password.php panelu użytkownika. Nieprawidłowe zarządzanie danymi sesji umożliwia atak przejęcia sesji, co prowadzi do przejęcia konta.
Ocena ryzyka
Atakujący może zdalnie przejąć sesję uwierzytelnionego użytkownika, uzyskując pełny dostęp do jego konta i danych, co może skutkować kradzieżą tożsamości lub nieautoryzowanymi działaniami.
Rekomendacja
Natychmiast zaktualizuj system do najnowszej wersji lub zastosuj poprawkę zabezpieczającą. Dodatkowo wdroż mechanizmy ochrony sesji, takie jak regeneracja identyfikatora sesji po zalogowaniu i walidacja danych sesji.
Oryginalny opis (angielski, źródło NVD)
A critical vulnerability was found in PHPGurukul User Registration & Login and User Management System V3.3 in the /loginsystem/change-password.php file of the user panel - Change Password component. Improper handling of session data allows a Session Hijacking attack, exploitable remotely and leading to account takeover.

