CRITICAL🇬🇧 English

CVE-2024-56525

XXE w PKP OJS/OMP/OPS umożliwia eskalację uprawnień i instalację backdoor

CVSS 9.8v3.1pub. 2025-02-24upd. 2026-04-15

Podatność typu XXE (XML External Entity) w platformach PKP OJS, OMP i OPS pozwala użytkownikowi z rolą Journal Editor na uzyskanie uprawnień super administratora oraz instalację złośliwego pluginu (backdoor). Zagrożenie jest krytyczne, ponieważ nie wymaga wysokich uprawnień wyjściowych, a skutki obejmują pełne przejęcie kontroli nad instalacją.

Pokaż oryginał (EN)

In Public Knowledge Project (PKP) OJS, OMP, and OPS before 3.3.0.21 and 3.4.x before 3.4.0.8, an XXE attack by the Journal Editor Role can create a new role as super admin in the journal context, and insert a backdoor plugin, by uploading a crafted XML document as a User XML Plugin.

🤖 Analiza AI
Jak działa

Atakujący posiadający rolę Journal Editor przesyła spreparowany dokument XML za pośrednictwem funkcji User XML Plugin. Dokument zawiera złośliwe encje zewnętrzne (XXE), które są przetwarzane przez aplikację bez odpowiedniej walidacji. Wykorzystując tę lukę, napastnik może utworzyć nową rolę z uprawnieniami super administratora w kontekście czasopisma oraz wstrzyknąć złośliwy plugin działający jako backdoor.

Skutki

Atakujący może uzyskać pełne uprawnienia administracyjne w systemie oraz zainstalować backdoor plugin, co umożliwia trwały, nieautoryzowany dostęp do platformy, kradzież danych oraz dalsze kompromitowanie systemu.

Mitygacja

Należy zaktualizować platformy PKP OJS, OMP lub OPS do wersji 3.3.0.21 lub nowszej (dla gałęzi 3.3.x) albo do wersji 3.4.0.8 lub nowszej (dla gałęzi 3.4.x). Do czasu aktualizacji zaleca się ograniczenie dostępu do funkcji User XML Plugin oraz monitorowanie aktywności użytkowników z rolą Journal Editor.

Kogo dotyczy

Public Knowledge Project (PKP) OJS, OMP oraz OPS w wersjach przed 3.3.0.21 oraz w gałęzi 3.4.x przed wersją 3.4.0.8

Uwagi

Podatność dotyczy wyłącznie użytkowników posiadających rolę Journal Editor — nie jest to podatność niewymagająca żadnego uwierzytelnienia, mimo że wektor CVSS wskazuje PR:N. Szczegóły techniczne dostępne pod adresem wskazanym w referencjach producenta.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
XXE
CWE
Referencje