CVE-2024-48514
CriticalSummary
php-heic-to-jpg w wersji 1.0.5 i wcześniejszych jest podatny na wstrzykiwanie kodu, co zostało naprawione w wersji 1.0.6. Atakujący, który ma możliwość przesyłania obrazów heic, może wykonać kod na zdalnym serwerze poprzez nazwę pliku.
Risk Assessment
W wyniku tej podatności, poufność, integralność i dostępność danych (CIA) nie są już gwarantowane, co stwarza poważne zagrożenie dla bezpieczeństwa systemu.
Recommendation
Zaleca się aktualizację php-heic-to-jpg do wersji 1.0.6 lub nowszej, aby usunąć tę podatność.
Original NVD description (English source)
php-heic-to-jpg <= 1.0.5 is vulnerable to code injection (fixed in 1.0.6). An attacker who can upload heic images is able to execute code on the remote server via the file name. As a result, the CIA is no longer guaranteed. This affects php-heic-to-jpg 1.0.5 and below.

