Podatność w bibliotece class.upload.php

cert.pl 11 miesięcy temu

Opis podatności

CERT Polska w ramach badań własnych znalazł w otwartoźródłowej bibliotece class.upload.php podatność typu Stored XSS, której nadano identyfikator CVE-2023-6551. Związana jest ona z nieprawidłową walidacją przesyłanych danych.

Według deklaracji autora podatność ta nie zostanie usunięta z biblioteki. Osoby korzystające z niej muszą być świadomi zagrożeń z tego wynikających i odpowiednio zabezpieczyć swoją aplikację poprzez korzystanie z whitelisty rozszerzeń plików, które można wysyłać z użyciem tej biblioteki, jak również konfigurując serwer tak, aby zawsze zwracał on rodzaj pliku na podstawie rozszerzenia. Wymienione wyżej zalecenie dodane zostały do pliku README projektu.

Idź do oryginalnego materiału