CVE-2018-25388

HaPe PKH 1.1 Arbitrary File Upload via aksi_foto.php

CVSS 8.7 HIGHEPSS 0.5%CWE-434

HaPe PKH 1.1 contains an arbitrary file upload vulnerability that allows authenticated attackers to upload malicious files by bypassing file type validation. Attackers can upload PHP files through multiple endpoints including aksi_foto.php, aksi_user.php, and aksi_kecamatan.php to execute arbitrary code on the server.

CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N

Produtos afetados

Sitejo · HaPe PKH

PoCs públicas encontradas — 1

cve_referencewww.exploit-db.com/exploits/45593não verificado

⚠ Recursos públicos, para você avaliar a exposição de sistemas que controla ou está autorizado a testar. Teste apenas com autorização.

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →

Referências

https://sourceforge.net/projects/hape-pkh/files/latest/download https://www.exploit-db.com/exploits/45593 https://www.vulncheck.com/advisories/hape-pkh-arbitrary-file-upload-via-aksi-foto-php http://www.sitejo.id