Katalog CVE

CVE-2021-47819

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

ProjeQtOr Project Management w wersji 9.1.4 zawiera podatność na przesyłanie plików, która pozwala użytkownikom gościnnym na przesyłanie złośliwych plików PHP z możliwością wykonania dowolnego kodu. Atakujący mogą przesłać skrypt PHP przez sekcję załączników profilu i wykonać polecenia systemowe, uzyskując dostęp do przesłanego pliku za pomocą specjalnie skonstruowanego parametru żądania.

Ocena ryzyka

Podatność ta stwarza poważne ryzyko dla bezpieczeństwa systemu, umożliwiając atakującym wykonanie dowolnych poleceń na serwerze. Może to prowadzić do przejęcia kontroli nad systemem oraz wycieku danych.

Rekomendacja

Zaleca się aktualizację ProjeQtOr do najnowszej wersji, która eliminuje tę podatność. Dodatkowo, warto ograniczyć dostęp gości do funkcji przesyłania plików oraz wdrożyć mechanizmy skanowania przesyłanych plików.

Oryginalny opis (angielski, źródło NVD)

ProjeQtOr Project Management 9.1.4 contains a file upload vulnerability that allows guest users to upload malicious PHP files with arbitrary code execution capabilities. Attackers can upload a PHP script through the profile attachment section and execute system commands by accessing the uploaded file with a specially crafted request parameter.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS