2-Plan Team 1.0.4 содержит уязвимость для загрузки произвольных файлов, которая позволяет прошедшим проверку подлинности злоумышленникам загружать исполняемые файлы PHP путем отправки данных из составной формы в файл Managefile.php. Злоумышленники могут загружать PHP-файлы через параметр userfile1 с action=upload, которые хранятся в каталоге files и исполняются веб-сервером для удаленного выполнения кода.
Показать оригинальное описание (EN)
2-Plan Team 1.0.4 contains an arbitrary file upload vulnerability that allows authenticated attackers to upload executable PHP files by sending multipart form data to managefile.php. Attackers can upload PHP files through the userfile1 parameter with action=upload, which are stored in the files directory and executed by the web server for remote code execution.
Характеристики атаки
Последствия
Строка CVSS v4.0