SIM-PKH 2.4.1 contains an arbitrary file upload vulnerability that allows authenticated attackers to upload malicious files by submitting PHP code through the fupload parameter. Attackers can upload PHP files via the aksi_pengurus.php endpoint with module=pengurus and act=update parameters, which are stored in the foto directory and executed as web scripts.
SIM-PKH 2.4.1 contains an arbitrary file upload vulnerability allowing authenticated attackers to upload and execute malicious PHP files through the fupload parameter. The vulnerability affects the aksi_pengurus.php endpoint where uploaded files are stored in the foto directory and executed as web scripts.
ثغرة تحميل ملفات تعسفية في SIM-PKH 2.4.1 تسمح للمستخدمين المصرحين بتحميل ملفات PHP ضارة عبر معامل fupload في نقطة النهاية aksi_pengurus.php. يتم تخزين الملفات المرفوعة في مجلد foto وتنفيذها كنصوص ويب، مما يسمح بتنفيذ كود عشوائي على الخادم.
SIM-PKH 2.4.1 يحتوي على ثغرة تحميل ملفات تعسفية تسمح للمهاجمين المصرحين بتحميل وتنفيذ ملفات PHP ضارة عبر معامل fupload. تؤثر الثغرة على نقطة نهاية aksi_pengurus.php حيث يتم تخزين الملفات المرفوعة في مجلد foto وتنفيذها كنصوص ويب.
Upgrade SIM-PKH to a patched version beyond 2.4.1 immediately. Implement strict file upload validation including whitelist of allowed file extensions (non-executable types only), disable PHP execution in upload directories via web server configuration (.htaccess or nginx rules), enforce proper access controls on upload endpoints, and conduct security code review of file handling mechanisms.
قم بترقية SIM-PKH إلى إصدار مصحح أحدث من 2.4.1 فوراً. طبق التحقق الصارم من تحميل الملفات بما في ذلك قائمة بيضاء لامتدادات الملفات المسموحة (أنواع غير قابلة للتنفيذ فقط)، عطل تنفيذ PHP في مجلدات التحميل عبر إعدادات خادم الويب، فرض عناصر تحكم وصول مناسبة على نقاط نهاية التحميل، وأجرِ مراجعة أمان شاملة لآليات معالجة الملفات.