Platform
php
Component
vulnerability-practice
Opgelost in
1.0.1
Deze kwetsbaarheid in PocketMine-MP betreft een denial-of-service (DoS) situatie veroorzaakt door het ontbreken van een adequate limiet op de grootte van JSON payloads in ModalFormResponsePacket. Een kwaadwillende speler kan de server overbelasten door extreem grote JSON-data te versturen, wat leidt tot overmatig geheugengebruik en CPU-belasting. De kwetsbaarheid treft versies van PocketMine-MP tot en met 5.9.0. Een fix is geïmplementeerd in versie 5.39.2.
Een kritieke kwetsbaarheid is geïdentificeerd in Free Hotel Reservation System versie 1.0 (CVE-2026-4875). Deze fout maakt ongebeperkte bestandsuploads mogelijk door de argument 'image' te manipuleren binnen een onbekende functie in het bestand /admin/mod_amenities/index.php?view=add. De CVSS-score is 4.7, wat een matig risico aangeeft. De remote exploiteerbaarheid betekent dat een aanvaller deze kwetsbaarheid kan benutten zonder lokale systeemtoegang. De publieke openbaarmaking van de exploit vergroot het risico op actieve aanvallen aanzienlijk. Deze kwetsbaarheid kan aanvallers in staat stellen kwaadaardige bestanden te uploaden, zoals webscripts of uitvoerbare bestanden, waardoor de serverbeveiliging wordt aangetast en mogelijk de volledige controle over het systeem wordt verkregen.
De kwetsbaarheid wordt uitgebuit door de manipulatie van de parameter 'image' in de URL /admin/mod_amenities/index.php?view=add. Een aanvaller kan een HTTP-verzoek sturen met een kwaadaardige 'image'-parameter die een niet-afbeeldingsbestand bevat (bijvoorbeeld een PHP-script). Vanwege onvoldoende validatie staat het systeem de upload van dit bestand toe, dat vervolgens op de server kan worden uitgevoerd. De publieke openbaarmaking van de exploit vergemakkelijkt replicatie en vergroot de kans op geautomatiseerde aanvallen. Het ontbreken van een officiële fix impliceert dat systemen die Free Hotel Reservation System 1.0 gebruiken bijzonder kwetsbaar zijn.
Exploit Status
EPSS
0.05% (14% percentiel)
CISA SSVC
CVSS-vector
Momenteel is er geen officiële fix (fix) verstrekt door de ontwikkelaars van Free Hotel Reservation System. De meest effectieve directe mitigatie is om tijdelijk de functionaliteit /admin/mod_amenities/index.php?view=add uit te schakelen totdat een update wordt uitgebracht. We raden ten zeerste aan om de website van de ontwikkelaar en beveiligingsforums te volgen naar een oplossing. Bovendien kan de implementatie van een Web Application Firewall (WAF) helpen om exploitatiepogingen te blokkeren. Regelmatige beveiligingsaudits en het up-to-date houden van de serversoftware zijn essentiële preventieve maatregelen om het risico op toekomstige kwetsbaarheden te verminderen.
Actualizar a una versión parcheada del sistema de reservas de hotel. Si no hay una versión disponible, considerar deshabilitar la funcionalidad de carga de imágenes o implementar validaciones estrictas en el servidor para restringir los tipos de archivos permitidos y evitar la ejecución de código malicioso.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
Het is een unieke identificatiecode voor deze specifieke kwetsbaarheid in het Free Hotel Reservation System.
Theoretisch elk type bestand, inclusief PHP-scripts, uitvoerbare bestanden en andere kwaadaardige bestanden.
Het uitschakelen van de functionaliteit /admin/mod_amenities/index.php?view=add is de beste tijdelijke optie totdat een update wordt uitgebracht.
Zoek in kwetsbaarheidsdatabases zoals de National Vulnerability Database (NVD) of gespecialiseerde beveiligingsforums.
Een Web Application Firewall (WAF) is een beveiligingstool die HTTP-verkeer filtert en exploitatiepogingen kan blokkeren.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.