Vulnerabilities ›

CVE-2018-25388

High

CWE-434 — Weakness Type

                    Published: May 29, 2026                      ·  Modified: Jun 5, 2026                      ·  Source: NVD                

CVSS v3

8.8

🔗 NVD Official

📄 Description (English)

HaPe PKH 1.1 contains an arbitrary file upload vulnerability that allows authenticated attackers to upload malicious files by bypassing file type validation. Attackers can upload PHP files through multiple endpoints including aksi_foto.php, aksi_user.php, and aksi_kecamatan.php to execute arbitrary code on the server.

🤖 AI Executive Summary

HaPe PKH 1.1 suffers from an arbitrary file upload vulnerability allowing authenticated attackers to bypass file type validation and upload malicious PHP files across multiple endpoints. This enables remote code execution on affected servers, posing a critical threat to system integrity and confidentiality.

📄 Description (Arabic)

ثغرة تحميل ملفات تعسفية في HaPe PKH 1.1 تسمح للمستخدمين المصرح لهم بتجاوز آليات التحقق من نوع الملف وتحميل ملفات PHP ضارة. يمكن استغلال هذه الثغرة عبر نقاط نهاية متعددة بما فيها aksi_foto.php و aksi_user.php و aksi_kecamatan.php لتنفيذ كود عشوائي على الخادم.

🤖 ملخص تنفيذي (AI)

HaPe PKH 1.1 يحتوي على ثغرة تحميل ملفات تعسفية تسمح للمهاجمين المصرح لهم بتجاوز التحقق من نوع الملف وتحميل ملفات PHP ضارة. يمكن للمهاجمين تنفيذ كود عشوائي على الخادم من خلال نقاط نهاية متعددة.

🤖 AI Intelligence Analysis Analyzed: Jun 3, 2026 12:16

🇸🇦 Saudi Arabia Impact Assessment

Saudi Relevance: medium

🏢 Affected Saudi Sectors

government

🎯 MITRE ATT&CK Techniques

T1190 T1434 T1505.003

⚖️ Saudi Risk Score (AI)

8.0

/ 10.0

🔧 Remediation Steps (English)

Upgrade HaPe PKH to a patched version immediately. Implement strict server-side file type validation using whitelist approach, disable PHP execution in upload directories via web server configuration, enforce proper file permissions, and conduct security code review of all file upload endpoints (aksi_foto.php, aksi_user.php, aksi_kecamatan.php).

🔧 خطوات المعالجة (العربية)

قم بترقية HaPe PKH إلى نسخة معدلة فوراً. طبق التحقق من نوع الملف من جانب الخادم باستخدام قائمة بيضاء، عطل تنفيذ PHP في مجلدات التحميل عبر إعدادات خادم الويب، فرض أذونات الملفات الصحيحة، وأجرِ مراجعة أمان شاملة لجميع نقاط نهاية تحميل الملفات.

📋 Regulatory Compliance Mapping

🟢 NCA ECC 2024

A.9.2.1 A.9.4.3 A.10.1.1

🔵 SAMA CSF

ID.BE-1 PR.AC-1 PR.DS-1

🟡 ISO 27001:2022

A.6.1.2 A.9.2.1 A.9.4.3 A.10.1.1 A.12.2.1

🔗 References & Sources 4

🔗

http://www.sitejo.id

disclosure@vulncheck.com

🔗

https://sourceforge.net/projects/hape-pkh/files/latest/download

disclosure@vulncheck.com

🔗

https://www.exploit-db.com/exploits/45593

disclosure@vulncheck.com

🔗

https://www.vulncheck.com/advisories/hape-pkh-arbitrary-file-upload-via-aksi-foto-php

disclosure@vulncheck.com

📊 CVSS Score

8.8

/ 10.0 — High

📊 CVSS Vector

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

Attack VectorN — None / Network

Attack ComplexityL — Low / Local

Privileges RequiredL — Low / Local

User InteractionN — None / Network

ScopeU — Unchanged

ConfidentialityH — High

IntegrityH — High

AvailabilityH — High

📋 Quick Facts

Severity High

CVSS Score8.8

CWECWE-434

EPSS0.06%

Exploit No

Patch ✗ No

Published 2026-05-29

Source Feed nvd

🇸🇦 Saudi Risk Score

8.0

/ 10.0 — Saudi Risk

Priority: HIGH

🏷️ Tags

CWE-434

⚡ Actions

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

CVE-2018-25388

Introduce Yourself

Sign In Required