Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en un archivo .php en el servidor en la capacidad Add Profile Photo en qdPM (CVE-2020-11811)

Gravedad CVSS v3.1:
CRÍTICA
Tipo:
CWE-434 Subida sin restricciones de ficheros de tipos peligrosos
Fecha de publicación:
16/04/2020
Última modificación:
22/04/2020

Descripción

En qdPM versión 9.1, un atacante puede cargar un archivo .php malicioso en el servidor al explotar la capacidad Add Profile Photo con un valor content-type especialmente diseñado. Después de eso, el atacante puede ejecutar un comando arbitrario en el servidor usando este archivo malicioso.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:qdpm:qdpm:9.1:*:*:*:*:*:*:*


Referencias a soluciones, herramientas e información