CVE-2024-56525
CriticalSummary
W Public Knowledge Project (PKP) OJS, OMP i OPS przed wersjami 3.3.0.21 oraz 3.4.x przed 3.4.0.8, atak XXE przez rolę redaktora czasopisma może stworzyć nową rolę super administratora w kontekście czasopisma oraz wprowadzić wtyczkę z tylnym wejściem, przesyłając spreparowany dokument XML jako wtyczkę XML użytkownika.
Risk Assessment
Organizacja może być narażona na nieautoryzowany dostęp oraz manipulację danymi w systemie, co może prowadzić do poważnych naruszeń bezpieczeństwa i utraty zaufania użytkowników.
Recommendation
Zaleca się aktualizację do najnowszych wersji OJS, OMP i OPS, aby zniwelować ryzyko związane z tą podatnością oraz przeprowadzenie audytu bezpieczeństwa systemu.
Original NVD description (English source)
In Public Knowledge Project (PKP) OJS, OMP, and OPS before 3.3.0.21 and 3.4.x before 3.4.0.8, an XXE attack by the Journal Editor Role can create a new role as super admin in the journal context, and insert a backdoor plugin, by uploading a crafted XML document as a User XML Plugin.

