Katalog CVE

CVE-2025-45949

KrytyczneCVSS 9.8
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.43%

Percentyl 34 - wyżej niż 34% wszystkich znanych CVE

Streszczenie

Krytyczna podatność w PHPGurukul User Registration & Login and User Management System V3.3 w pliku /loginsystem/change-password.php panelu użytkownika. Nieprawidłowe zarządzanie danymi sesji umożliwia atak przejęcia sesji, co prowadzi do przejęcia konta.

Ocena ryzyka

Atakujący może zdalnie przejąć sesję uwierzytelnionego użytkownika, uzyskując pełny dostęp do jego konta i danych, co może skutkować kradzieżą tożsamości lub nieautoryzowanymi działaniami.

Rekomendacja

Natychmiast zaktualizuj system do najnowszej wersji lub zastosuj poprawkę zabezpieczającą. Dodatkowo wdroż mechanizmy ochrony sesji, takie jak regeneracja identyfikatora sesji po zalogowaniu i walidacja danych sesji.

Oryginalny opis (angielski, źródło NVD)

A critical vulnerability was found in PHPGurukul User Registration & Login and User Management System V3.3 in the /loginsystem/change-password.php file of the user panel - Change Password component. Improper handling of session data allows a Session Hijacking attack, exploitable remotely and leading to account takeover.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS