Vulnerabilidad en Shopwind (CVE-2024-1705)

Gravedad CVSS v3.1:

MEDIA

Tipo:

CWE-94 Control incorrecto de generación de código (Inyección de código)

Fecha de publicación:

21/02/2024

Última modificación:

12/02/2025

Descripción

Se encontró una vulnerabilidad en Shopwind hasta 4.6. Ha sido calificada como crítica. Este problema afecta la función actionCreate del archivo /public/install/controllers/DefaultController.php del componente Instalación. La manipulación conduce a la inyección de código. El ataque puede iniciarse de forma remota. La complejidad de un ataque es bastante alta. Se sabe que la explotación es difícil. El exploit ha sido divulgado al público y puede utilizarse. A esta vulnerabilidad se le asignó el identificador VDB-254393. NOTA: Se contactó primeramente con el proveedor sobre esta divulgación, pero no respondió de ninguna manera.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:L/A:L CVSS v3.1 Severidad y Métricas:

Puntuación base: 5.60 MEDIA
Vector: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:L/A:L

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Alto
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Bajo
Impacto a la integridad (I): Bajo
Impacto a la disponibilidad (A): Bajo

Puntuación base 3.x

5.60

Gravedad 3.x

MEDIA

Vector 2.0

AV:N/AC:H/Au:N/C:P/I:P/A:P CVSS v2.0 Severidad y Métricas:

Puntuación base: 5.10 MEDIA
Vector: AV:N/AC:H/Au:N/C:P/I:P/A:P

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Alto
Autenticación (Au): Ninguno
Impacto a la confidencialidad (C): Físico
Impacto a la integridad (I): Físico
Impacto a la disponibilidad (A): Físico