CVE-2026-23836
KrytyczneStreszczenie
HotCRP to oprogramowanie do recenzji konferencyjnych. W wersji 3.1, wydanej w kwietniu 2024 roku, wprowadzono problem związany z niewłaściwie sanitizowanym generowaniem kodu dla formuł HotCRP, co umożliwiło użytkownikom wywołanie wykonania dowolnego kodu PHP. Problem został naprawiony w wersji 3.2.
Ocena ryzyka
Wykorzystanie tej podatności może prowadzić do wykonania złośliwego kodu na serwerze, co stwarza poważne zagrożenie dla bezpieczeństwa danych i systemu. Organizacje korzystające z HotCRP powinny być szczególnie ostrożne, aby uniknąć potencjalnych ataków.
Rekomendacja
Zaleca się jak najszybsze zaktualizowanie HotCRP do wersji 3.2, aby usunąć tę podatność. Dodatkowo, warto przeprowadzić audyt bezpieczeństwa aplikacji w celu zidentyfikowania innych potencjalnych zagrożeń.
Oryginalny opis (angielski, źródło NVD)
HotCRP is conference review software. A problem introduced in April 2024 in version 3.1 led to inadequately sanitized code generation for HotCRP formulas which allowed users to trigger the execution of arbitrary PHP code. The problem is patched in release version 3.2.

