PT-2020-12680 · Projectworlds · Project Worlds Official Car Rental System
Publicado
2020-04-06
·
Atualizado
2020-04-06
·
CVE-2020-11544
CVSS v3.1
7.2
Alta
| Vetor | AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Project Worlds Official Car Rental System versão 1
Descrição
A vulnerabilidade permite que um usuário administrador execute comandos no servidor usando sua conta, devido a uma falha que permite o upload arbitrário de arquivos através do arquivo
add cars.php, localizado na seção de upload da página do gerenciador de arquivos. Não há restrições para o upload de arquivos executáveis, o que pode ser explorado.Recomendações
Para o Project Worlds Official Car Rental System versão 1, restrinja o acesso ao arquivo
add cars.php para impedir uploads arbitrários de arquivos até que uma correção esteja disponível. Considere implementar restrições de upload para arquivos executáveis como medida de mitigação temporária.Exploit
Correção
Unrestricted File Upload
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Project Worlds Official Car Rental System