CVE-2023-33569

ALT: (7,2)

CVSS3: 6,3

Sourcecodester Faculty Evaluation System podria permetre a un atacant remot autenticat pujar fitxers arbitraris. Això seria degut a la validació incorrecta d’extensions de fitxer per part de ip/eval/ajax.php?action=update_user. Enviant una sol·licitud HTTP especialment elaborada, l’atacant remot podria aprofitar aquesta vulnerabilitat per pujar un script PHP maliciós, el qual podria permetre-li executar codi PHP arbitrari al sistema vulnerable.

Sistemes Afectats

• Sourcecodester Faculty Evaluation System 1.0

Remediació
No hi ha recursos disponibles amb data 10 de maig del 2023.

Referències

• https://github.com/Cr4at0r/bug_report/blob/main/vendors/oretnom23/faculty-evaluation-system/RCE-1.md
• https://www.sourcecodester.com/php/14635/faculty-evaluation-system-using-phpmysqli-source-code.html
• http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-33569