HaPe PKH 1.1 contains a cross-site request forgery vulnerability that allows attackers to change administrator passwords by submitting forged requests to the user update endpoint. Attackers can craft malicious forms targeting the aksi_user.php script with parameters like id_user, password, and level to modify admin credentials without authentication.
HaPe PKH 1.1 is vulnerable to cross-site request forgery (CSRF) attacks that allow unauthorized password changes for administrator accounts. Attackers can craft malicious requests to modify admin credentials by exploiting the unprotected user update endpoint.
تحتوي نسخة HaPe PKH 1.1 على ثغرة أمان من نوع CSRF تمكن المهاجمين من تغيير كلمات مرور المسؤولين دون الحصول على تفويض. يمكن للمهاجم إنشاء نماذج خبيثة موجهة إلى سكريبت aksi_user.php مع معاملات مثل معرف المستخدم وكلمة المرور والمستوى. هذه الثغرة تسمح بالاستيلاء الكامل على حسابات المسؤولين وتعريض النظام بأكمله للخطر.
HaPe PKH 1.1 يحتوي على ثغرة طلب مزيف عبر المواقع تسمح للمهاجمين بتغيير كلمات مرور المسؤولين. يمكن للمهاجمين إنشاء طلبات خبيثة لتعديل بيانات اعتماد المسؤول دون مصادقة.
Upgrade HaPe PKH to a patched version if available. Implement CSRF tokens (synchronizer tokens) on all state-changing endpoints, particularly aksi_user.php. Add SameSite cookie attributes and implement proper authentication checks before processing password changes. Validate request origins and implement Content Security Policy headers.
قم بترقية HaPe PKH إلى نسخة معدلة إن توفرت. قم بتنفيذ رموز CSRF على جميع نقاط النهاية التي تغير الحالة، خاصة aksi_user.php. أضف سمات ملفات تعريف الارتباط SameSite وقم بتنفيذ فحوصات مصادقة مناسبة قبل معالجة تغييرات كلمة المرور. تحقق من أصول الطلبات وقم بتنفيذ رؤوس سياسة أمان المحتوى.