CVE-2018-18924

The image-upload feature in ProjeQtOr 7.2.5 allows remote attackers to execute arbitrary code by uploading a .shtml file with "#exec cmd"…

mitre·CWE-459·Published 2018-11-04

CVSS

—

EPSS

0.09

KEV

Exploits

cve.orgen

266 chars

The image-upload feature in ProjeQtOr 7.2.5 allows remote attackers to execute arbitrary code by uploading a .shtml file with "#exec cmd" because rejected files remain on the server, with predictable filenames, after a "This file is not a valid image" error message.

NVDen

266 chars

NVDes

306 chars

La característica de subida de imágenes en ProjeQtOr 7.2.5 permite que atacantes remotos ejecuten código arbitrario subiendo un archivo .shtml con "#exec cmd" debido a que los archivos rechazados se mantienen en el servidor con nombres predecibles tras un mensaje de error "This file is not a valid image".

CVSS metrics across sources

Version	Type	Source	Base	Exp	Impact	Vector
2.0	Primary	NVD	6.5	8.0	6.4	AV:N/AC:L/Au:S/C:P/I:P/A:P
3.0	Primary	NVD	8.8	2.8	5.9	CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H