发布日期：2024-01-08
更新日期：2024-03-25

受影响系统：

Stud.IP Stud.IP >= 5.3
Stud.IP Stud.IP >= 5.2
Stud.IP Stud.IP >= 5.1
Stud.IP Stud.IP < 5.3.4
Stud.IP Stud.IP < 5.2.6
Stud.IP Stud.IP < 5.1.7
Stud.IP Stud.IP < 5.0.9

描述：

---

CVE(CAN) ID: CVE-2023-50982

Stud.IP是Sourceforge开源的一个大学、教育和应用的学习和信息管理系统。
Stud.IP 5.0.9之前版本、5.1至5.1.7之前版本、5.2至5.2.6之前版本、5.3至5.3.4之前版本存在跨站脚本漏洞，该漏洞源于Admin_SmileysController中的upload_action、edit_action不检查文件扩展名，攻击者利用该漏洞可以使用www-data用户权限执行远程代码。

<**>

建议：

---

厂商补丁：

Stud.IP
-------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：
https://gitlab.studip.de/studip/studip/-/tags

浏览次数：220
严重程度：0（网友投票）