CVE-2026-23836
CriticalSummary
HotCRP to oprogramowanie do recenzji konferencyjnych. W wersji 3.1, wydanej w kwietniu 2024 roku, wprowadzono problem związany z niewłaściwie sanitizowanym generowaniem kodu dla formuł HotCRP, co umożliwiło użytkownikom wywołanie wykonania dowolnego kodu PHP. Problem został naprawiony w wersji 3.2.
Risk Assessment
Wykorzystanie tej podatności może prowadzić do wykonania złośliwego kodu na serwerze, co stwarza poważne zagrożenie dla bezpieczeństwa danych i systemu. Organizacje korzystające z HotCRP powinny być szczególnie ostrożne, aby uniknąć potencjalnych ataków.
Recommendation
Zaleca się jak najszybsze zaktualizowanie HotCRP do wersji 3.2, aby usunąć tę podatność. Dodatkowo, warto przeprowadzić audyt bezpieczeństwa aplikacji w celu zidentyfikowania innych potencjalnych zagrożeń.
Original NVD description (English source)
HotCRP is conference review software. A problem introduced in April 2024 in version 3.1 led to inadequately sanitized code generation for HotCRP formulas which allowed users to trigger the execution of arbitrary PHP code. The problem is patched in release version 3.2.

