PhreeBooks ERP 5.2.3 содержит уязвимость для загрузки произвольных файлов в компоненте Image Manager, которая позволяет аутентифицированным злоумышленникам загружать вредоносные файлы, отправляя запросы к конечной точке загрузки изображений. Злоумышленники могут загрузить PHP-файлы через параметр imgFile в конечную точку bizuno/image/manager и выполнить их через скрипт bizunoFS.php для удаленного выполнения кода.
Показать оригинальное описание (EN)
PhreeBooks ERP 5.2.3 contains an arbitrary file upload vulnerability in the Image Manager component that allows authenticated attackers to upload malicious files by submitting requests to the image upload endpoint. Attackers can upload PHP files through the imgFile parameter to the bizuno/image/manager endpoint and execute them via the bizunoFS.php script for remote code execution.
Характеристики атаки
Последствия
Строка CVSS v4.0
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Phreesoft Phreebookserp
cpe:2.3:a:phreesoft:phreebookserp:5.2.3:*:*:*:*:*:*:*
|
— | — |