CRITICAL🇬🇧 English

CVE-2025-45949

Session Hijacking w PHPGurukul User Management System V3.3

CVSS 9.8v3.1pub. 2025-04-28upd. 2026-07-05

Krytyczna podatność w systemie PHPGurukul User Registration & Login and User Management System V3.3 umożliwia przejęcie sesji użytkownika (Session Hijacking) poprzez nieprawidłowe zarządzanie danymi sesji. Skuteczne wykorzystanie podatności pozwala atakującemu na zdalne przejęcie konta ofiary.

Pokaż oryginał (EN)

A critical vulnerability was found in PHPGurukul User Registration & Login and User Management System V3.3 in the /loginsystem/change-password.php file of the user panel - Change Password component. Improper handling of session data allows a Session Hijacking attack, exploitable remotely and leading to account takeover.

🤖 Analiza AI
Jak działa

Podatność (CWE-384) wynika z nieprawidłowego zarządzania danymi sesji w komponencie zmiany hasła, zlokalizowanym w pliku /loginsystem/change-password.php. Atakujący może zdalnie, bez uwierzytelnienia i bez interakcji użytkownika, nadużyć mechanizmu sesji w taki sposób, aby uzyskać dostęp do sesji innego użytkownika. Prowadzi to do pełnego przejęcia konta (account takeover).

Skutki

Atakujący może przejąć konto dowolnego użytkownika systemu, uzyskując pełny dostęp do jego danych oraz funkcji panelu użytkownika. Ze względu na wektor sieciowy i brak wymagań co do uprawnień czy interakcji ofiary, atak jest szczególnie niebezpieczny.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Zaleca się śledzenie oficjalnego repozytorium producenta (phpgurukul.com) w celu pobrania zaktualizowanej wersji oprogramowania oraz wdrożenie bezpiecznych mechanizmów zarządzania sesją (m.in. regeneracja identyfikatora sesji po zmianie hasła).

Kogo dotyczy

PHPGurukul User Registration & Login and User Management System w wersji V3.3

Uwagi

Szczegółowy opis podatności wraz z dowodem koncepcji (proof of concept) został opublikowany przez badacza VasilVK w repozytorium GitHub pod adresem https://github.com/VasilVK/CVE/blob/main/CVE-2025-45949/README.MD.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Phpgurukul User Registration \& Login And User Management System

    APP
    Phpgurukul
    3.3
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2024-48283CRITICAL9.8PL ✓ten sam produkt

SQL Injection w Phpgurukul User Management System 3.2 – parametr searchkey

CVE-2020-25952CRITICAL9.8ten sam produkt

SQL injection vulnerability in PHPGurukul User Registration & Login and User Management System With admin pane...

CVE-2024-48280HIGH7.6ten sam produkt

A SQL Injection vulnerability was found in /search-result.php of PHPGurukul User Registration & Login and User...

CVE-2024-48279HIGH7.6ten sam produkt

A HTML Injection vulnerability was found in /search-result.php of PHPGurukul User Registration & Login and Use...

CVE-2024-48282HIGH7.6ten sam produkt

A SQL Injection vulnerability was found in /password-recovery.php of PHPGurukul User Registration & Login and ...

CVE-2025-45949 — Session Hijacking w PHPGurukul User Management System V3.3 — CRITICAL 9.8 | CVEbaza.pl