PT-2022-24793 · Unknown · College Management System
Liav Gutman
·
Publicado
2022-11-17
·
Atualizado
2025-04-28
·
CVE-2022-39179
CVSS v3.1
7.2
Alta
| Vetor | AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
College Management System versão 1.0
Descrição
A vulnerabilidade permite que um usuário administrador faça o upload de um arquivo .php contendo código malicioso por meio do arquivo student.php, o que pode levar à execução remota de código. A autenticação exigida para essa ação pode ser contornada por meio de injeção de SQL, conforme mencionado em outro relatório.
Recomendações
Para o Sistema de Gestão de Faculdades versão 1.0, considere desativar a funcionalidade de upload no arquivo student.php até que uma correção esteja disponível para impedir o upload de arquivos .php maliciosos. Restrinja o acesso ao arquivo student.php para minimizar o risco de exploração. Evite usar o arquivo student.php para fazer upload de quaisquer arquivos até que o problema seja resolvido.
Correção
RCE
SQL injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
College Management System