Неограниченная загрузка файлов с опасным типом существует в MATCHA INVOICE 2.6.6 и более ранних версиях. Если эта уязвимость будет использована, администратор продукта может создать произвольный файл. В результате на сервере может быть выполнен произвольный код.
Показать оригинальное описание (EN)
Unrestricted upload of file with dangerous type issue exists in MATCHA INVOICE 2.6.6 and earlier. If this vulnerability is exploited, an arbitrary file may be created by an administrator of the product. As a result, arbitrary code may be executed on the server.
Характеристики атаки
Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Условия для атаки
Не требуются
Нет дополнительных условий
Нужны права
Высокие
Нужны права администратора
Участие пользователя
Не требуется
Не нужно действие пользователя
Последствия
Конфиденциальность
Низкое
Частичная утечка данных
Целостность
Низкое
Частичная модификация данных
Доступность
Низкое
Частичное нарушение работы
Строка CVSS v4.0
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Icz Matcha_Invoice
cpe:2.3:a:icz:matcha_invoice:*:*:*:*:*:*:*:*
|
— |
<= 2.6.6
|