CVE-2024-51499 in Markusinfo

Zusammenfassung

von VulDB • 10.06.2026

MarkUs ist eine Webanwendung zur Einreichung und Bewertung von Studentenarbeiten. In Versionen vor 2.4.8 ermöglicht eine beliebige Datei-Schreibschwäche (Arbitrary File Write), die über die Methode `update_files` des `SubmissionsController` zugänglich ist, authentifizierten Benutzern (z. B. Studierenden), willkürliche Dateien an jedem Speicherort auf dem Webserver zu schreiben, auf dem MarkUs ausgeführt wird (abhängig von den Berechtigungen des zugrunde liegenden Dateisystems). Dies kann beispielsweise zu einer verzögerten Remote-Code-Ausführung führen, wenn es einem Angreifer gelingt, eine Ruby-Datei in das Unterverzeichnis `config/initializers/` der Ruby-on-Rails-Anwendung zu schreiben. MarkUs v2.4.8 hat dieses Problem behoben. Auf Anwendungsebene sind keine bekannten Workarounds verfügbar; ein Upgrade ist die einzige Lösung.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Zuständig

GitHub M

Reservieren

28.10.2024

Veröffentlichung

18.11.2024

Moderieren

akzeptiert

Eintrag

VDB-285046

CPE

bereit

EPSS

0.00696

KEV

nein

Aktivitäten

very low

Quellen

Want to know what is going to be exploited?

We predict KEV entries!