| CVE ID | CVE-2023-6551 |
| Data publikacji | 04 stycznia 2024 |
| Producent podatnego oprogramowania | Colin Verot |
| Nazwa podatnego oprogramowania | class.upload.php |
| Podatne wersje | Wszystkie |
| Typ podatności (CWE) | Unrestricted Upload of File with Dangerous Type (CWE-434) |
| Źródło zgłoszenia | Badania własne |
Opis podatności
CERT Polska w ramach badań własnych znalazł w otwartoźródłowej bibliotece class.upload.php podatność typu Stored XSS, której nadano identyfikator CVE-2023-6551. Związana jest ona z nieprawidłową walidacją przesyłanych danych.
Według deklaracji autora podatność ta nie zostanie usunięta z biblioteki. Osoby korzystające z niej muszą być świadomi zagrożeń z tego wynikających i odpowiednio zabezpieczyć swoją aplikację poprzez korzystanie z whitelisty rozszerzeń plików, które można wysyłać z użyciem tej biblioteki, jak również konfigurując serwer tak, aby zawsze zwracał on rodzaj pliku na podstawie rozszerzenia. Wymienione wyżej zalecenie dodane zostały do pliku README projektu.
Więcej o procesie zgłaszania podatności można przeczytać na stronie https://cert.pl/cvd/.