CVE-2020-11811

**Nome do software vulnerável e versões afetadas:

qdPM versão 9.1

Descrição:

O problema está relacionado ao upload irrestrito de arquivos no qdPM, permitindo que um invasor envie um arquivo .php malicioso para o servidor. Isso pode ser feito explorando o recurso “Adicionar foto de perfil” com um valor de tipo de conteúdo manipulado. Após enviar o arquivo malicioso, o invasor pode executar comandos arbitrários no servidor. A vulnerabilidade pode ser explorada por um invasor remoto para executar código arbitrário no sistema alvo, enviando um arquivo PHP malicioso especialmente criado.

Recomendações:

Para o qdPM versão 9.1, considere desativar o recurso de upload de arquivos, especificamente o recurso “Adicionar foto de perfil”, até que uma correção esteja disponível para impedir a exploração. Restrinja o acesso às funções de upload de arquivos para minimizar o risco de uploads de arquivos maliciosos. Evite usar o recurso de upload de arquivos com valores de tipo de conteúdo não validados ou não verificados para impedir a execução de código arbitrário. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.