Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidad en ClipBucket V5 (CVE-2025-21624)

Gravedad CVSS v3.1:
CRÍTICA
Tipo:
CWE-434 Subida sin restricciones de ficheros de tipos peligrosos
Fecha de publicación:
07/01/2025
Última modificación:
05/09/2025

Descripción

ClipBucket V5 ofrece alojamiento de vídeo de código abierto con PHP. Antes de la versión 5.5.1 - 239, existía una vulnerabilidad de carga de archivos en la función de gestión de listas de reproducción de la aplicación, específicamente relacionada con la carga de imágenes de portada de listas de reproducción. Sin las comprobaciones adecuadas, un atacante puede cargar un archivo de script PHP en lugar de un archivo de imagen, lo que permite almacenar y ejecutar un webshell u otros archivos maliciosos en el servidor. Este vector de ataque existe tanto en el área de administración como en el área de usuario de bajo nivel. Esta vulnerabilidad se solucionó en la versión 5.5.1 - 239.

Impacto

Vector 3.x
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 9.80 CRÍTICA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Alto

Puntuación base 3.x
9.80
Gravedad 3.x
CRÍTICA

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:oxygenz:clipbucket:*:*:*:*:*:*:*:* 5.3 (incluyendo) 5.5.1-239 (excluyendo)

Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página


Referencias a soluciones, herramientas e información