Vulnerabilidad en un archivo .php en el servidor en la capacidad Add Profile Photo en qdPM (CVE-2020-11811)
Gravedad CVSS v3.1:
CRÍTICA
Tipo:
CWE-434
Subida sin restricciones de ficheros de tipos peligrosos
Fecha de publicación:
16/04/2020
Última modificación:
22/04/2020
Descripción
En qdPM versión 9.1, un atacante puede cargar un archivo .php malicioso en el servidor al explotar la capacidad Add Profile Photo con un valor content-type especialmente diseñado. Después de eso, el atacante puede ejecutar un comando arbitrario en el servidor usando este archivo malicioso.
Impacto
Puntuación base 3.x
9.80
Gravedad 3.x
CRÍTICA
Puntuación base 2.0
10.00
Gravedad 2.0
ALTA
Productos y versiones vulnerables
CPE | Desde | Hasta |
---|---|---|
cpe:2.3:a:qdpm:qdpm:9.1:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página