CVE-2021-47819
KrytyczneStreszczenie
ProjeQtOr Project Management w wersji 9.1.4 zawiera podatność na przesyłanie plików, która pozwala użytkownikom gościnnym na przesyłanie złośliwych plików PHP z możliwością wykonania dowolnego kodu. Atakujący mogą przesłać skrypt PHP przez sekcję załączników profilu i wykonać polecenia systemowe, uzyskując dostęp do przesłanego pliku za pomocą specjalnie skonstruowanego parametru żądania.
Ocena ryzyka
Podatność ta stwarza poważne ryzyko dla bezpieczeństwa systemu, umożliwiając atakującym wykonanie dowolnych poleceń na serwerze. Może to prowadzić do przejęcia kontroli nad systemem oraz wycieku danych.
Rekomendacja
Zaleca się aktualizację ProjeQtOr do najnowszej wersji, która eliminuje tę podatność. Dodatkowo, warto ograniczyć dostęp gości do funkcji przesyłania plików oraz wdrożyć mechanizmy skanowania przesyłanych plików.
Oryginalny opis (angielski, źródło NVD)
ProjeQtOr Project Management 9.1.4 contains a file upload vulnerability that allows guest users to upload malicious PHP files with arbitrary code execution capabilities. Attackers can upload a PHP script through the profile attachment section and execute system commands by accessing the uploaded file with a specially crafted request parameter.

