CVE-2025-45997

Nome do Software Vulnerável e Versões Afetadas Sourcecodester Web-based Pharmacy Product Management System versão 1.0 Sourcecodester Web-based Pharmacy Product Management System versão 0.0.1

Descrição A vulnerabilidade permite que um atacante faça upload de um arquivo PHP disfarçado como imagem ao modificar o cabeçalho Content-Type para image/jpg. Isso pode ser explorado alterando o cabeçalho para mimetizar um arquivo de imagem, permitindo o upload de código PHP malicioso.

Recomendações Para a versão 1.0, atualize a validação de upload de arquivos para verificar o tipo real do arquivo em vez de confiar no cabeçalho Content-Type. Para a versão 0.0.1, implemente um mecanismo de upload de arquivos seguro que verifique o tipo do arquivo e impeça o upload de código executável, como arquivos PHP. Como solução temporária, considere desativar a funcionalidade de upload de arquivos até que uma atualização segura esteja disponível.