CVE-2025-52022
ŚrednieCVSS 5.3Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 33 - wyżej niż 33% wszystkich znanych CVE
Streszczenie
Podatność w backendzie PHP aplikacji gemsloyalty.aptsys.com.sg (do 2025-05-28) pozwala nieuwierzytelnionym atakującym na wywołanie szczegółowych komunikatów błędów, które ujawniają wewnętrzne ścieżki plików, fragmenty kodu i ślady stosu. Wystarczy wysłać specjalnie spreparowane żądania HTTP GET/POST do publicznych punktów końcowych API.
Ocena ryzyka
Ujawnienie wewnętrznych ścieżek plików, fragmentów kodu i śladów stosu może ułatwić atakującym dalszą eksploatację systemu, w tym identyfikację podatnych komponentów i planowanie ataków.
Rekomendacja
Należy natychmiast zaktualizować aplikację do najnowszej wersji oraz skonfigurować środowisko produkcyjne tak, aby nie wyświetlało szczegółowych komunikatów błędów (np. wyłączenie display_errors w PHP).
Oryginalny opis (angielski, źródło NVD)
A vulnerability in the PHP backend of gemsloyalty.aptsys.com.sg thru 2025-05-28 allows unauthenticated remote attackers to trigger detailed error messages that disclose internal file paths, code snippets, and stack traces. This occurs when specially crafted HTTP GET/POST requests are sent to public API endpoints, exposing potentially sensitive information useful for further exploitation. This issue is classified under CWE-209: Information Exposure Through an Error Message.

