CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2020-37090

Critical
Published: Translated: NVD NIST

Summary

School ERP Pro w wersji 1.0 zawiera podatność na przesyłanie plików, która pozwala studentom na przesyłanie dowolnych plików PHP do systemu wiadomości. Atakujący mogą przesyłać złośliwe skrypty PHP za pomocą funkcji załączania wiadomości, co umożliwia zdalne wykonanie kodu na serwerze.

Risk Assessment

Podatność ta stwarza poważne ryzyko dla organizacji, ponieważ umożliwia atakującym zdalne wykonanie kodu, co może prowadzić do przejęcia kontroli nad serwerem. Może to skutkować utratą danych oraz naruszeniem poufności informacji.

Recommendation

Zaleca się aktualizację do najnowszej wersji School ERP Pro, która naprawia tę podatność. Dodatkowo warto wdrożyć mechanizmy ograniczające możliwość przesyłania niebezpiecznych typów plików przez użytkowników.

Original NVD description (English source)

School ERP Pro 1.0 contains a file upload vulnerability that allows students to upload arbitrary PHP files to the messaging system. Attackers can upload malicious PHP scripts through the message attachment feature, enabling remote code execution on the server.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS