Katalog CVE

CVE-2024-56525

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

W Public Knowledge Project (PKP) OJS, OMP i OPS przed wersjami 3.3.0.21 oraz 3.4.x przed 3.4.0.8, atak XXE przez rolę redaktora czasopisma może stworzyć nową rolę super administratora w kontekście czasopisma oraz wprowadzić wtyczkę z tylnym wejściem, przesyłając spreparowany dokument XML jako wtyczkę XML użytkownika.

Ocena ryzyka

Organizacja może być narażona na nieautoryzowany dostęp oraz manipulację danymi w systemie, co może prowadzić do poważnych naruszeń bezpieczeństwa i utraty zaufania użytkowników.

Rekomendacja

Zaleca się aktualizację do najnowszych wersji OJS, OMP i OPS, aby zniwelować ryzyko związane z tą podatnością oraz przeprowadzenie audytu bezpieczeństwa systemu.

Oryginalny opis (angielski, źródło NVD)

In Public Knowledge Project (PKP) OJS, OMP, and OPS before 3.3.0.21 and 3.4.x before 3.4.0.8, an XXE attack by the Journal Editor Role can create a new role as super admin in the journal context, and insert a backdoor plugin, by uploading a crafted XML document as a User XML Plugin.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS