Katalog CVE

CVE-2019-25758

WysokieCVSS 8.8
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.67%

Percentyl 47 - wyżej niż 47% wszystkich znanych CVE

Streszczenie

Komponent Joomla! vBizz w wersji 1.0.7 zawiera podatność na nieograniczone przesyłanie plików, która pozwala uwierzytelnionym atakującym na przesyłanie dowolnych plików PHP poprzez parametr profile_pic. Atakujący mogą przesyłać pliki PHP za pomocą żądań POST do punktu końcowego widoku pracownika i wykonywać je z katalogu uploads, co prowadzi do zdalnego wykonania kodu.

Ocena ryzyka

Podatność ta stwarza poważne ryzyko dla organizacji, umożliwiając atakującym zdalne wykonanie kodu na serwerze, co może prowadzić do przejęcia kontroli nad systemem.

Rekomendacja

Zaleca się aktualizację komponentu vBizz do najnowszej wersji oraz wdrożenie ścisłych kontroli dotyczących przesyłania plików, aby zminimalizować ryzyko związane z nieautoryzowanym dostępem.

Oryginalny opis (angielski, źródło NVD)

Joomla! Component vBizz 1.0.7 contains an unrestricted file upload vulnerability that allows authenticated attackers to upload arbitrary PHP files by submitting malicious files through the profile_pic parameter. Attackers can upload PHP files via POST requests to the employee view endpoint and execute them from the uploads directory to achieve remote code execution.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS