Limitación incorrecta de una ruta a un directorio restringido en Pluck CMS
Pluck CMS, versión 4.7.18.
INCIBE ha coordinado la publicación de una vulnerabilidad de severidad media que afecta a Pluck CMS versión 4.7.18, un pequeño y sencillo sistema de gestión de contenidos (CMS) programado en PHP, la cual ha sido descubierta por David Utón Amaya.
A esta vulnerabilidad se le ha asignado el siguiente código, puntuación base CVSS v3.1, vector del CVSS y el tipo de vulnerabilidad CWE:
- CVE-2024-9405: CVSS v3.1: 5.3 | CVSS: AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N | CWE-23
No hay solución reportada por el momento.
CVE-2024-9405: se ha detectado una limitación incorrecta de una ruta a un directorio restringido (path traversal) en Pluck CMS, que afecta a la versión 4.7.18. Un atacante, no autenticado, podría extraer información confidencial del servidor a través de la ruta absoluta de un archivo ubicado en el mismo directorio o subdirectorio del módulo, pero no de directorios recursivos.