Vulnerabilidad en ILIAS (CVE-2024-33529)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-78
Neutralización incorrecta de elementos especiales usados en un comando de sistema operativo (Inyección de comando de sistema operativo)
Fecha de publicación:
21/05/2024
Última modificación:
04/06/2025
Descripción
ILIAS 7 anterior a 7.30 e ILIAS 8 anterior a 8.11, así como ILIAS 9.0, permiten a atacantes remotos autenticados con privilegios administrativos ejecutar comandos del sistema operativo mediante la carga de archivos con tipos peligrosos.
Impacto
Puntuación base 3.x
7.20
Gravedad 3.x
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:ilias:ilias:*:*:*:*:*:*:*:* | 7.0 (incluyendo) | 7.30 (excluyendo) |
| cpe:2.3:a:ilias:ilias:*:*:*:*:*:*:*:* | 8.0 (incluyendo) | 8.11 (excluyendo) |
| cpe:2.3:a:ilias:ilias:9.0:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://docu.ilias.de/ilias.php?baseClass=illmpresentationgui&cmd=layout&ref_id=1719&obj_id=170040
- https://insinuator.net/2024/05/security-advisory-achieving-php-code-execution-in-ilias-elearning-lms-before-v7-30-v8-11-v9-1/
- https://docu.ilias.de/ilias.php?baseClass=illmpresentationgui&cmd=layout&ref_id=1719&obj_id=170040
- https://insinuator.net/2024/05/security-advisory-achieving-php-code-execution-in-ilias-elearning-lms-before-v7-30-v8-11-v9-1/