CVE-2024-51499 in Markus
Zusammenfassung
von VulDB • 10.06.2026
MarkUs ist eine Webanwendung zur Einreichung und Bewertung von Studentenarbeiten. In Versionen vor 2.4.8 ermöglicht eine beliebige Datei-Schreibschwäche (Arbitrary File Write), die über die Methode `update_files` des `SubmissionsController` zugänglich ist, authentifizierten Benutzern (z. B. Studierenden), willkürliche Dateien an jedem Speicherort auf dem Webserver zu schreiben, auf dem MarkUs ausgeführt wird (abhängig von den Berechtigungen des zugrunde liegenden Dateisystems). Dies kann beispielsweise zu einer verzögerten Remote-Code-Ausführung führen, wenn es einem Angreifer gelingt, eine Ruby-Datei in das Unterverzeichnis `config/initializers/` der Ruby-on-Rails-Anwendung zu schreiben. MarkUs v2.4.8 hat dieses Problem behoben. Auf Anwendungsebene sind keine bekannten Workarounds verfügbar; ein Upgrade ist die einzige Lösung.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.