← voltar
CVE-2018-25390

HaPe PKH 1.1 SQL Injection via desa Parameter

CVSS 8.8 HIGHEPSS 0.3%CWE-89
Vexday Risk Score
41Atenção
Decisão SSVC (CISA)
Attend
PoC disponível → acompanhar de perto
CVSS 8.8EPSS 0.3%KEV nãoPoC públicaNuclei Metasploit Patch
Ciclo de vida
29 mai 2026Publicada no NVD
Recomendação: Planejar correção próxima — já existe PoC pública.
HaPe PKH 1.1 contains an SQL injection vulnerability that allows unauthenticated attackers to manipulate database queries by injecting SQL code through the 'desa' POST parameter sent to lap-peserta-perdesa-pdf.php. Attackers can send a crafted request with a time-based blind payload to infer and extract sensitive database information.
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:L/VA:N/SC:N/SI:N/SA:N
Produtos afetados
Sitejo · HaPe PKH
⚠ Recursos públicos, para você avaliar a exposição de sistemas que controla ou está autorizado a testar. Teste apenas com autorização.