CVE-2024-56525
KrytyczneStreszczenie
W Public Knowledge Project (PKP) OJS, OMP i OPS przed wersjami 3.3.0.21 oraz 3.4.x przed 3.4.0.8, atak XXE przez rolę redaktora czasopisma może stworzyć nową rolę super administratora w kontekście czasopisma oraz wprowadzić wtyczkę z tylnym wejściem, przesyłając spreparowany dokument XML jako wtyczkę XML użytkownika.
Ocena ryzyka
Organizacja może być narażona na nieautoryzowany dostęp oraz manipulację danymi w systemie, co może prowadzić do poważnych naruszeń bezpieczeństwa i utraty zaufania użytkowników.
Rekomendacja
Zaleca się aktualizację do najnowszych wersji OJS, OMP i OPS, aby zniwelować ryzyko związane z tą podatnością oraz przeprowadzenie audytu bezpieczeństwa systemu.
Oryginalny opis (angielski, źródło NVD)
In Public Knowledge Project (PKP) OJS, OMP, and OPS before 3.3.0.21 and 3.4.x before 3.4.0.8, an XXE attack by the Journal Editor Role can create a new role as super admin in the journal context, and insert a backdoor plugin, by uploading a crafted XML document as a User XML Plugin.

