Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en TemmokuMVC (CVE-2024-1750)

Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-502 Deserialización de datos no confiables
Fecha de publicación:
22/02/2024
Última modificación:
31/12/2024

Descripción

Una vulnerabilidad fue encontrada en TemmokuMVC hasta 2.3 y clasificada como crítica. La función get_img_url/img_replace en la librería lib/images_get_down.php del componente Image Download Handler es afectada por esta vulnerabilidad. La manipulación conduce a la deserialización. Es posible lanzar el ataque de forma remota. La complejidad de un ataque es bastante alta. Se dice que la explotabilidad es difícil. El exploit ha sido divulgado al público y puede utilizarse. El identificador de esta vulnerabilidad es VDB-254532. NOTA: Se contactó primeramente con el proveedor sobre esta divulgación, pero no respondió de ninguna manera.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:temmokumvc:temmokumvc:*:*:*:*:*:*:*:* 2.3 (excluyendo)