Vulnerabilidad en la función Add Photo en el archivo photogalleries.inc.php y la función import staff excel en el archivo 1finance_master.inc.php en Arox School ERP Pro (CVE-2022-32119)

Gravedad CVSS v3.1:

ALTA

Tipo:

CWE-434 Subida sin restricciones de ficheros de tipos peligrosos

Fecha de publicación:

15/07/2022

Última modificación:

22/07/2022

Descripción

Se ha detectado que Arox School ERP Pro versión v1.0, contiene múltiples vulnerabilidades de carga de archivos arbitrarios por medio de la función Add Photo en el archivo photogalleries.inc.php y la función import staff excel en el archivo 1finance_master.inc.php

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 8.80 ALTA
Vector: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Bajo
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Alto