CVE-2023-33569

ALT: (7,2)

CVSS3: 6,3

Sourcecodester Faculty Evaluation System podria permetre a un atacant remot autenticat carregar arxius arbitraris a causa de la incorrecta validació de les extensions d’arxiu per part de ip/eval/ajax.php?action=update_user. Enviant una petició HTTP especialment dissenyada, un atacant remot podria explotar aquesta vulnerabilitat per carregar un script PHP maliciós, que podria permetre a l’atacant executar codi PHP arbitrari al sistema vulnerable.

Sistemes Afectats

• Sourcecodester Faculty Evaluation System 1.0

Remediació
No hi ha recursos disponibles amb data 10 de maig del 2023.

Referències

• https://github.com/Cr4at0r/bug_report/blob/main/vendors/oretnom23/faculty-evaluation-system/RCE-1.md
• https://www.sourcecodester.com/php/14635/faculty-evaluation-system-using-phpmysqli-source-code.html
• http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-33569