CVE-2020-37113: Kritische RCE-Lücke in GUnet OpenEclass 1.7.3
⚠️ CVE-Referenzen:
CVE-2020-37113
Zusammenfassung
Eine schwerwiegende Sicherheitslücke in der Lernplattform GUnet OpenEclass 1.7.3 ermöglicht es authentifizierten Nutzern, Dateibeschränkungen zu umgehen und Schadcode hochzuladen. Durch Umbenennung einer PHP-Datei können Angreifer so beliebigen Code auf dem Server ausführen. Dieses kritische Sicherheitsproblem im Datei-Upload-Feature ist mit einer Bewertung von 8.8 "High" eingestuft.
GUnet OpenEclass 1.7.3 allows authenticated users to bypass file extension restrictions when uploading files. By renaming a PHP file to .php3 or .PhP, an attacker can upload a web shell and execute arbitrary code on the server. This vulnerability enables remote code execution by bypassing the intended file type checks in the exercise submission feature.
Quelle: app.opencve.io