CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2024-56525

Critical
Published: Translated: NVD NIST

Summary

W Public Knowledge Project (PKP) OJS, OMP i OPS przed wersjami 3.3.0.21 oraz 3.4.x przed 3.4.0.8, atak XXE przez rolę redaktora czasopisma może stworzyć nową rolę super administratora w kontekście czasopisma oraz wprowadzić wtyczkę z tylnym wejściem, przesyłając spreparowany dokument XML jako wtyczkę XML użytkownika.

Risk Assessment

Organizacja może być narażona na nieautoryzowany dostęp oraz manipulację danymi w systemie, co może prowadzić do poważnych naruszeń bezpieczeństwa i utraty zaufania użytkowników.

Recommendation

Zaleca się aktualizację do najnowszych wersji OJS, OMP i OPS, aby zniwelować ryzyko związane z tą podatnością oraz przeprowadzenie audytu bezpieczeństwa systemu.

Original NVD description (English source)

In Public Knowledge Project (PKP) OJS, OMP, and OPS before 3.3.0.21 and 3.4.x before 3.4.0.8, an XXE attack by the Journal Editor Role can create a new role as super admin in the journal context, and insert a backdoor plugin, by uploading a crafted XML document as a User XML Plugin.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS