Limitación incorrecta de una ruta a un directorio restringido en productos de Chameleon Power

Fecha de publicación 22/11/2023

Importancia

4 - Alta

Recursos Afectados

Chameleon power framework, versión 1.0.

Descripción

INCIBE ha coordinado la publicación de una vulnerabilidad que afecta al framework Chameleon Power y que ha sido descubierta por Daniel Martínez Adan (adon90), miembro de Holcim EDC.

A esta vulnerabilidad se le ha asignado el siguiente código, puntuación base CVSS v3.1, vector del CVSS y el tipo de vulnerabilidad CWE:

CVE-2023-6252: CVSS v3.1: 7.5 | CVSS: AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N | CWE-35.

Solución

No hay una solución reportada por el momento.

Detalle

CVE-2023-6252: vulnerabilidad de path traversal afectando al parámetro getImage. Esta vulnerabilidad podría permitir a un usuario remoto leer archivos ubicados en el servidor y obtener acceso a información sensible, como archivos de configuración.

Listado de referencias

Web del fabricante

Etiquetas

CNA
Vulnerabilidad