CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2022-41573

Critical
Published: Translated: NVD NIST

Summary

W Ovidentia 8.3 zidentyfikowano problem związany z funkcją przesyłania plików, która nie blokuje przesyłania plików wykonywalnych. Użytkownik może przesłać plik .png zawierający kod PHP, a następnie zmienić jego nazwę na .php, co umożliwia zdalne wykonanie kodu.

Risk Assessment

Ryzyko dla organizacji polega na możliwości zdalnego wykonania kodu, co może prowadzić do przejęcia kontroli nad systemem lub wycieku danych. Atakujący może wykorzystać tę lukę do wprowadzenia złośliwego oprogramowania.

Recommendation

Zaleca się wprowadzenie ścisłych ograniczeń dotyczących typów plików, które mogą być przesyłane, oraz skanowanie przesyłanych plików w celu wykrycia potencjalnych zagrożeń. Należy również rozważyć aktualizację do nowszej wersji Ovidentia, jeśli jest dostępna.

Original NVD description (English source)

An issue was discovered in Ovidentia 8.3. The file upload feature does not prevent the uploading of executable files. A user can upload a .png file containing PHP code and then rename it to have the .php extension. It will then be accessible at an images/common/ URI for remote code execution.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS