HaPe PKH 1.1 fails to enforce authorization on its record deletion endpoints, allowing unauthenticated attackers to delete arbitrary records by sending a crafted request that specifies the target record's id. The admin/modul/mod_pengurus/aksi_pengurus.php (module=pengurus&act=hapus) and admin/modul/mod_update/aksi_update.php (module=update&act=hapus) endpoints process deletions without verifying the requester's privileges, enabling removal of pengurus (administrator) and update records.
HaPe PKH 1.1 fails to enforce authorization on record deletion endpoints, allowing unauthenticated attackers to delete arbitrary records including administrator and update records. This vulnerability affects critical administrative functions through unprotected deletion endpoints that lack privilege verification.
يحتوي HaPe PKH 1.1 على ثغرة في التفويض تؤثر على وحدات إدارة المستخدمين والتحديثات. يمكن للمهاجمين غير المصرحين حذف السجلات الحرجة بما في ذلك حسابات المسؤولين من خلال إرسال طلبات مصنوعة تحتوي على معرفات السجلات المستهدفة.
يفشل HaPe PKH 1.1 في فرض التفويض على نقاط نهاية حذف السجلات، مما يسمح للمهاجمين غير المصرحين بحذف السجلات التعسفية بما في ذلك سجلات المسؤول والتحديثات. تؤثر هذه الثغرة على الوظائف الإدارية الحرجة من خلال نقاط نهاية حذف غير محمية تفتقر إلى التحقق من الامتيازات.
Upgrade HaPe PKH to a patched version immediately. Implement proper authorization checks on all deletion endpoints by verifying user roles and permissions before processing delete requests. Apply principle of least privilege and implement access control lists (ACLs) for administrative functions. Disable or restrict access to vulnerable endpoints until patching is complete.
قم بترقية HaPe PKH إلى نسخة معدلة فوراً. قم بتطبيق فحوصات التفويض المناسبة على جميع نقاط نهاية الحذف من خلال التحقق من أدوار المستخدم والأذونات قبل معالجة طلبات الحذف. طبق مبدأ أقل امتياز وقم بتطبيق قوائم التحكم في الوصول (ACLs) للوظائف الإدارية. قم بتعطيل أو تقييد الوصول إلى نقاط النهاية الضعيفة حتى يتم إصلاح المشكلة.