Zgłoś incydent
Cofnij
Zgłoś incydent
O nas
O zespole Praca Kontakt
Baza wiedzy
Fałszywe inwestycje Uważaj na fałszywe sklepy online (Nie)bezpieczne płatności Fałszywi konsultanci Zadbaj o bezpieczne hasła i logowanie Fałszywe załączniki w mailach Fałszywe prośby o szybki przelew Fałszywe SMSy - plaga ostatnich miesięcy
Biuletyn OUCH!
Porady bezpieczeństwa OUCH!
Projekty
n6 Artemis MWDB

Podatność w bibliotece class.upload.php
04 stycznia 2024 | CERT Polska | #podatność, #ostrzeżenie, #cve
CVE ID CVE-2023-6551
Data publikacji 04 stycznia 2024
Producent podatnego oprogramowania Colin Verot
Nazwa podatnego oprogramowania class.upload.php
Podatne wersje Wszystkie
Typ podatności (CWE) Unrestricted Upload of File with Dangerous Type (CWE-434)
Źródło zgłoszenia Badania własne

Opis podatności

CERT Polska w ramach badań własnych znalazł w otwartoźródłowej bibliotece class.upload.php podatność typu Stored XSS, której nadano identyfikator CVE-2023-6551. Związana jest ona z nieprawidłową walidacją przesyłanych danych.

Według deklaracji autora podatność ta nie zostanie usunięta z biblioteki. Osoby korzystające z niej muszą być świadomi zagrożeń z tego wynikających i odpowiednio zabezpieczyć swoją aplikację poprzez korzystanie z whitelisty rozszerzeń plików, które można wysyłać z użyciem tej biblioteki, jak również konfigurując serwer tak, aby zawsze zwracał on rodzaj pliku na podstawie rozszerzenia. Wymienione wyżej zalecenie dodane zostały do pliku README projektu.

Więcej o procesie zgłaszania podatności można przeczytać na stronie https://cert.pl/cvd/.