Opis podatności
CERT Polska w ramach badań własnych znalazł w otwartoźródłowej bibliotece class.upload.php podatność typu Stored XSS, której nadano identyfikator CVE-2023-6551. Związana jest ona z nieprawidłową walidacją przesyłanych danych.
Według deklaracji autora podatność ta nie zostanie usunięta z biblioteki. Osoby korzystające z niej muszą być świadomi zagrożeń z tego wynikających i odpowiednio zabezpieczyć swoją aplikację poprzez korzystanie z whitelisty rozszerzeń plików, które można wysyłać z użyciem tej biblioteki, jak również konfigurując serwer tak, aby zawsze zwracał on rodzaj pliku na podstawie rozszerzenia. Wymienione wyżej zalecenie dodane zostały do pliku README projektu.
