CVE-2026-24479
CriticalSummary
HUSTOF to otwartoźródłowy system oceny online oparty na PHP/C++/MySQL/Linux, używany w treningach ACM/ICPC i NOIP. W wersjach przed 26.01.24 moduły problem_import_qduoj.php i problem_import_hoj.php nieprawidłowo sanitizują nazwy plików w przesyłanych archiwach ZIP, co umożliwia atakującym wykonanie złośliwego kodu.
Risk Assessment
Atakujący mogą wykorzystać tę podatność do wstrzyknięcia złośliwych plików w dowolne miejsce w katalogu głównym serwera, co prowadzi do zdalnego wykonania kodu (RCE). Może to skutkować poważnymi konsekwencjami dla bezpieczeństwa systemu i danych organizacji.
Recommendation
Zaleca się aktualizację do wersji 26.01.24 lub nowszej, aby usunąć tę podatność. Dodatkowo warto przeprowadzić audyt bezpieczeństwa aplikacji w celu zidentyfikowania innych potencjalnych zagrożeń.
Original NVD description (English source)
HUSTOF is an open source online judge based on PHP/C++/MySQL/Linux for ACM/ICPC and NOIP training. Prior to version 26.01.24, the problem_import_qduoj.php and problem_import_hoj.php modules fail to properly sanitize filenames within uploaded ZIP archives. Attackers can craft a malicious ZIP file containing files with path traversal sequences (e.g., ../../shell.php). When extracted by the server, this allows writing files to arbitrary locations in the web root, leading to Remote Code Execution (RCE). Version 26.01.24 contains a fix for the issue.

