CVE-2023-30185

MITJÀ: (9,8)

CVSS3: 8,6

CRMEB podria permetre a un atacant remot carregar arxius arbitraris, causat per la validació incorrecta de les extensions d’arxiu pel script \attachment\SystemAttachmentServices.php. Mitjançant l’enviament d’una sol·licitud HTTP especialment dissenyada, un atacant remot podria explotar aquesta vulnerabilitat per a carregar un script PHP maliciós, que podria permetre a l’atacant executar codi PHP arbitrari en el sistema vulnerable.

Sistemes Afectats

• CRMEB CRMEB 4.6.0
• CRMEB CRMEB 4.4

Remediació
No hi ha recursos disponibles amb data 8 de maig del 2023.

Referències

• https://github.com/c7w1n/CVE-2023-30185/blob/main/CVE-2023-30185.md
• https://www.crmeb.com/