CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2026-23836

Critical
Published: Translated: NVD NIST

Summary

HotCRP to oprogramowanie do recenzji konferencyjnych. W wersji 3.1, wydanej w kwietniu 2024 roku, wprowadzono problem związany z niewłaściwie sanitizowanym generowaniem kodu dla formuł HotCRP, co umożliwiło użytkownikom wywołanie wykonania dowolnego kodu PHP. Problem został naprawiony w wersji 3.2.

Risk Assessment

Wykorzystanie tej podatności może prowadzić do wykonania złośliwego kodu na serwerze, co stwarza poważne zagrożenie dla bezpieczeństwa danych i systemu. Organizacje korzystające z HotCRP powinny być szczególnie ostrożne, aby uniknąć potencjalnych ataków.

Recommendation

Zaleca się jak najszybsze zaktualizowanie HotCRP do wersji 3.2, aby usunąć tę podatność. Dodatkowo, warto przeprowadzić audyt bezpieczeństwa aplikacji w celu zidentyfikowania innych potencjalnych zagrożeń.

Original NVD description (English source)

HotCRP is conference review software. A problem introduced in April 2024 in version 3.1 led to inadequately sanitized code generation for HotCRP formulas which allowed users to trigger the execution of arbitrary PHP code. The problem is patched in release version 3.2.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS