CVE-2024-36057

Name of the Vulnerable Software and Affected Versions Koha Library versões anteriores a 23.05.10

Description As versões do Koha Library anteriores a 23.05.10 não higienizam corretamente os nomes de arquivo fornecidos pelos usuários antes de descompactá-los, o que pode levar à execução remota de código. O script upload-cover-image.pl contém um problema de injeção de comando na linha 'qx/unzip $filename -d $dirname/;' devido à inclusão direta de entrada controlada por um invasor dentro de um comando do sistema. Isso pode ser acionado carregando um arquivo .zip malicioso e clicando em Processar Imagens.

Recommendations Atualize para a versão 23.05.10 ou posterior.