CVE-2019-25758
WysokieCVSS 8.8Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 47 - wyżej niż 47% wszystkich znanych CVE
Streszczenie
Komponent Joomla! vBizz w wersji 1.0.7 zawiera podatność na nieograniczone przesyłanie plików, która pozwala uwierzytelnionym atakującym na przesyłanie dowolnych plików PHP poprzez parametr profile_pic. Atakujący mogą przesyłać pliki PHP za pomocą żądań POST do punktu końcowego widoku pracownika i wykonywać je z katalogu uploads, co prowadzi do zdalnego wykonania kodu.
Ocena ryzyka
Podatność ta stwarza poważne ryzyko dla organizacji, umożliwiając atakującym zdalne wykonanie kodu na serwerze, co może prowadzić do przejęcia kontroli nad systemem.
Rekomendacja
Zaleca się aktualizację komponentu vBizz do najnowszej wersji oraz wdrożenie ścisłych kontroli dotyczących przesyłania plików, aby zminimalizować ryzyko związane z nieautoryzowanym dostępem.
Oryginalny opis (angielski, źródło NVD)
Joomla! Component vBizz 1.0.7 contains an unrestricted file upload vulnerability that allows authenticated attackers to upload arbitrary PHP files by submitting malicious files through the profile_pic parameter. Attackers can upload PHP files via POST requests to the employee view endpoint and execute them from the uploads directory to achieve remote code execution.

