Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en Sourcecodester Free school management software (CVE-2021-46013)

Gravedad CVSS v3.1:
CRÍTICA
Tipo:
CWE-434 Subida sin restricciones de ficheros de tipos peligrosos
Fecha de publicación:
18/01/2022
Última modificación:
24/01/2022

Descripción

Se presenta una vulnerabilidad de carga de archivos sin restricciones en Sourcecodester Free school management software versión 1.0. Un atacante puede aprovechar esta vulnerabilidad para permitir una ejecución de código remota en el servidor web afectado. Una vez que es subido un webshell php que contiene "(?php system($_GET["cmd"]); ?)" es guardado en el directorio /uploads/exam_question/, y es accesible por todos los usuarios

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:free_school_management_software_project:free_school_management_software:1.0:*:*:*:*:*:*:*


Referencias a soluciones, herramientas e información