Limitación incorrecta de una ruta a un directorio restringido en Pluck CMS

Fecha de publicación 01/10/2024
Importancia
3 - Media
Recursos Afectados

Pluck CMS, versión 4.7.18.

Descripción

INCIBE ha coordinado la publicación de una vulnerabilidad de severidad media que afecta a Pluck CMS versión 4.7.18, un pequeño y sencillo sistema de gestión de contenidos (CMS) programado en PHP, la cual ha sido descubierta por David Utón Amaya.

A esta vulnerabilidad se le ha asignado el siguiente código, puntuación base CVSS v3.1, vector del CVSS y el tipo de vulnerabilidad CWE:

  • CVE-2024-9405: CVSS v3.1: 5.3 | CVSS: AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N | CWE-23
Solución

No hay solución reportada por el momento.

Detalle

CVE-2024-9405: se ha detectado una limitación incorrecta de una ruta a un directorio restringido (path traversal) en Pluck CMS, que afecta a la versión 4.7.18. Un atacante, no autenticado, podría extraer información confidencial del servidor a través de la ruta absoluta de un archivo ubicado en el mismo directorio o subdirectorio del módulo, pero no de directorios recursivos.

Listado de referencias