CVE-2025-45953
KrytyczneCVSS 9.1Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 28 - wyżej niż 28% wszystkich znanych CVE
Streszczenie
Podatność w PHPGurukul Hostel Management System 2.1 w pliku /hostel/change-password.php panelu użytkownika (komponent Zmiana hasła) umożliwia przejęcie sesji. Nieprawidłowe zarządzanie danymi sesji pozwala atakującemu na zdalne przechwycenie sesji użytkownika.
Ocena ryzyka
Atakujący może przejąć sesję administratora lub użytkownika, uzyskując nieautoryzowany dostęp do systemu zarządzania hostelem, co może prowadzić do kradzieży danych lub modyfikacji ustawień.
Rekomendacja
Należy natychmiast zaktualizować system do najnowszej wersji lub zastosować poprawkę zabezpieczającą. Dodatkowo wdrożyć mechanizmy ochrony sesji, takie jak regeneracja identyfikatora sesji po zalogowaniu i użycie flag HttpOnly oraz Secure dla ciasteczek.
Oryginalny opis (angielski, źródło NVD)
A vulnerability was found in PHPGurukul Hostel Management System 2.1 in the /hostel/change-password.php file of the user panel - Change Password component. Improper handling of session data allows a Session Hijacking attack, exploitable remotely

