Vulnerabilidad en Sourcecodester Free school management software (CVE-2021-46013)
Gravedad CVSS v3.1:
CRÍTICA
Tipo:
CWE-434
Subida sin restricciones de ficheros de tipos peligrosos
Fecha de publicación:
18/01/2022
Última modificación:
24/01/2022
Descripción
Se presenta una vulnerabilidad de carga de archivos sin restricciones en Sourcecodester Free school management software versión 1.0. Un atacante puede aprovechar esta vulnerabilidad para permitir una ejecución de código remota en el servidor web afectado. Una vez que es subido un webshell php que contiene "(?php system($_GET["cmd"]); ?)" es guardado en el directorio /uploads/exam_question/, y es accesible por todos los usuarios
Impacto
Puntuación base 3.x
9.80
Gravedad 3.x
CRÍTICA
Puntuación base 2.0
7.50
Gravedad 2.0
ALTA
Productos y versiones vulnerables
CPE | Desde | Hasta |
---|---|---|
cpe:2.3:a:free_school_management_software_project:free_school_management_software:1.0:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página