Podatność typu XXE (XML External Entity) w platformach PKP OJS, OMP i OPS pozwala użytkownikowi z rolą Journal Editor na uzyskanie uprawnień super administratora oraz instalację złośliwego pluginu (backdoor). Zagrożenie jest krytyczne, ponieważ nie wymaga wysokich uprawnień wyjściowych, a skutki obejmują pełne przejęcie kontroli nad instalacją.
▸ Pokaż oryginał (EN)
In Public Knowledge Project (PKP) OJS, OMP, and OPS before 3.3.0.21 and 3.4.x before 3.4.0.8, an XXE attack by the Journal Editor Role can create a new role as super admin in the journal context, and insert a backdoor plugin, by uploading a crafted XML document as a User XML Plugin.
Atakujący posiadający rolę Journal Editor przesyła spreparowany dokument XML za pośrednictwem funkcji User XML Plugin. Dokument zawiera złośliwe encje zewnętrzne (XXE), które są przetwarzane przez aplikację bez odpowiedniej walidacji. Wykorzystując tę lukę, napastnik może utworzyć nową rolę z uprawnieniami super administratora w kontekście czasopisma oraz wstrzyknąć złośliwy plugin działający jako backdoor.
Atakujący może uzyskać pełne uprawnienia administracyjne w systemie oraz zainstalować backdoor plugin, co umożliwia trwały, nieautoryzowany dostęp do platformy, kradzież danych oraz dalsze kompromitowanie systemu.
Należy zaktualizować platformy PKP OJS, OMP lub OPS do wersji 3.3.0.21 lub nowszej (dla gałęzi 3.3.x) albo do wersji 3.4.0.8 lub nowszej (dla gałęzi 3.4.x). Do czasu aktualizacji zaleca się ograniczenie dostępu do funkcji User XML Plugin oraz monitorowanie aktywności użytkowników z rolą Journal Editor.
Public Knowledge Project (PKP) OJS, OMP oraz OPS w wersjach przed 3.3.0.21 oraz w gałęzi 3.4.x przed wersją 3.4.0.8
Podatność dotyczy wyłącznie użytkowników posiadających rolę Journal Editor — nie jest to podatność niewymagająca żadnego uwierzytelnienia, mimo że wektor CVSS wskazuje PR:N. Szczegóły techniczne dostępne pod adresem wskazanym w referencjach producenta.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H