Katalog CVE

CVE-2024-48514

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

php-heic-to-jpg w wersji 1.0.5 i wcześniejszych jest podatny na wstrzykiwanie kodu, co zostało naprawione w wersji 1.0.6. Atakujący, który ma możliwość przesyłania obrazów heic, może wykonać kod na zdalnym serwerze poprzez nazwę pliku.

Ocena ryzyka

W wyniku tej podatności, poufność, integralność i dostępność danych (CIA) nie są już gwarantowane, co stwarza poważne zagrożenie dla bezpieczeństwa systemu.

Rekomendacja

Zaleca się aktualizację php-heic-to-jpg do wersji 1.0.6 lub nowszej, aby usunąć tę podatność.

Oryginalny opis (angielski, źródło NVD)

php-heic-to-jpg <= 1.0.5 is vulnerable to code injection (fixed in 1.0.6). An attacker who can upload heic images is able to execute code on the remote server via the file name. As a result, the CIA is no longer guaranteed. This affects php-heic-to-jpg 1.0.5 and below.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS