PhreeBooks ERP 5.2.3 содержит уязвимость удаленного выполнения кода в менеджере изображений, которая позволяет аутентифицированным злоумышленникам загружать и выполнять произвольные файлы PHP, минуя контроль расширения файлов. Злоумышленники могут загружать вредоносные файлы PHP через конечную точку менеджера изображений и запускать их, чтобы установить обратные соединения оболочки и выполнить системные команды.
Показать оригинальное описание (EN)
PhreeBooks ERP 5.2.3 contains a remote code execution vulnerability in the image manager that allows authenticated attackers to upload and execute arbitrary PHP files by bypassing file extension controls. Attackers can upload malicious PHP files through the image manager endpoint and execute them to establish reverse shell connections and execute system commands.
Характеристики атаки
Последствия
Строка CVSS v4.0
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Phreesoft Phreebookserp
cpe:2.3:a:phreesoft:phreebookserp:5.2.3:*:*:*:*:*:*:*
|
— | — |