CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2021-47819

Critical
Published: Translated: NVD NIST

Summary

ProjeQtOr Project Management w wersji 9.1.4 zawiera podatność na przesyłanie plików, która pozwala użytkownikom gościnnym na przesyłanie złośliwych plików PHP z możliwością wykonania dowolnego kodu. Atakujący mogą przesłać skrypt PHP przez sekcję załączników profilu i wykonać polecenia systemowe, uzyskując dostęp do przesłanego pliku za pomocą specjalnie skonstruowanego parametru żądania.

Risk Assessment

Podatność ta stwarza poważne ryzyko dla bezpieczeństwa systemu, umożliwiając atakującym wykonanie dowolnych poleceń na serwerze. Może to prowadzić do przejęcia kontroli nad systemem oraz wycieku danych.

Recommendation

Zaleca się aktualizację ProjeQtOr do najnowszej wersji, która eliminuje tę podatność. Dodatkowo, warto ograniczyć dostęp gości do funkcji przesyłania plików oraz wdrożyć mechanizmy skanowania przesyłanych plików.

Original NVD description (English source)

ProjeQtOr Project Management 9.1.4 contains a file upload vulnerability that allows guest users to upload malicious PHP files with arbitrary code execution capabilities. Attackers can upload a PHP script through the profile attachment section and execute system commands by accessing the uploaded file with a specially crafted request parameter.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS