Katalog CVE

CVE-2022-41573

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

W Ovidentia 8.3 zidentyfikowano problem związany z funkcją przesyłania plików, która nie blokuje przesyłania plików wykonywalnych. Użytkownik może przesłać plik .png zawierający kod PHP, a następnie zmienić jego nazwę na .php, co umożliwia zdalne wykonanie kodu.

Ocena ryzyka

Ryzyko dla organizacji polega na możliwości zdalnego wykonania kodu, co może prowadzić do przejęcia kontroli nad systemem lub wycieku danych. Atakujący może wykorzystać tę lukę do wprowadzenia złośliwego oprogramowania.

Rekomendacja

Zaleca się wprowadzenie ścisłych ograniczeń dotyczących typów plików, które mogą być przesyłane, oraz skanowanie przesyłanych plików w celu wykrycia potencjalnych zagrożeń. Należy również rozważyć aktualizację do nowszej wersji Ovidentia, jeśli jest dostępna.

Oryginalny opis (angielski, źródło NVD)

An issue was discovered in Ovidentia 8.3. The file upload feature does not prevent the uploading of executable files. A user can upload a .png file containing PHP code and then rename it to have the .php extension. It will then be accessible at an images/common/ URI for remote code execution.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS