Katalog CVE

CVE-2025-52022

ŚrednieCVSS 5.3
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.41%

Percentyl 33 - wyżej niż 33% wszystkich znanych CVE

Streszczenie

Podatność w backendzie PHP aplikacji gemsloyalty.aptsys.com.sg (do 2025-05-28) pozwala nieuwierzytelnionym atakującym na wywołanie szczegółowych komunikatów błędów, które ujawniają wewnętrzne ścieżki plików, fragmenty kodu i ślady stosu. Wystarczy wysłać specjalnie spreparowane żądania HTTP GET/POST do publicznych punktów końcowych API.

Ocena ryzyka

Ujawnienie wewnętrznych ścieżek plików, fragmentów kodu i śladów stosu może ułatwić atakującym dalszą eksploatację systemu, w tym identyfikację podatnych komponentów i planowanie ataków.

Rekomendacja

Należy natychmiast zaktualizować aplikację do najnowszej wersji oraz skonfigurować środowisko produkcyjne tak, aby nie wyświetlało szczegółowych komunikatów błędów (np. wyłączenie display_errors w PHP).

Oryginalny opis (angielski, źródło NVD)

A vulnerability in the PHP backend of gemsloyalty.aptsys.com.sg thru 2025-05-28 allows unauthenticated remote attackers to trigger detailed error messages that disclose internal file paths, code snippets, and stack traces. This occurs when specially crafted HTTP GET/POST requests are sent to public API endpoints, exposing potentially sensitive information useful for further exploitation. This issue is classified under CWE-209: Information Exposure Through an Error Message.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS