Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en Public Knowledge Project (PKP) OJS, OMP y OPS (CVE-2024-56525)

Gravedad CVSS v3.1:
CRÍTICA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
24/02/2025
Última modificación:
25/02/2025

Descripción

En Public Knowledge Project (PKP) OJS, OMP y OPS anteriores a 3.3.0.21 y 3.4.x anteriores a 3.4.0.8, un ataque XXE por parte del rol de editor de la revista puede crear un nuevo rol como superadministrador en el contexto de la revista e insertar un complemento de puerta trasera, cargando un documento XML manipulado como un complemento XML de usuario.