CVE-2024-56525

Nome do Software Vulnerável e Versões Afetadas Public Knowledge Project (PKP) OJS versões anteriores a 3.3.0.21 Public Knowledge Project (PKP) OMP versões anteriores a 3.3.0.21 Public Knowledge Project (PKP) OPS versões anteriores a 3.3.0.21 Public Knowledge Project (PKP) OJS versões 3.4.x anteriores a 3.4.0.8 Public Knowledge Project (PKP) OMP versões 3.4.x anteriores a 3.4.0.8 Public Knowledge Project (PKP) OPS versões 3.4.x anteriores a 3.4.0.8

Descrição A vulnerabilidade permite um ataque XXE por parte da função de Editor do Journal, possibilitando a criação de uma nova função como superadministrador no contexto do journal e a inserção de um plugin de backdoor. Isso é realizado através do upload de um documento XML manipulado como um Plugin XML de Usuário.

Recomendações Para as versões do Public Knowledge Project (PKP) OJS, OMP e OPS anteriores a 3.3.0.21, atualize para a versão 3.3.0.21 ou superior. Para as versões 3.4.x do Public Knowledge Project (PKP) OJS, OMP e OPS anteriores a 3.4.0.8, atualize para a versão 3.4.0.8 ou superior. Como medida paliativa temporária, considere restringir o upload de documentos XML como Plugins XML de Usuário para minimizar o risco de exploração.