CVE-2006-3850
Gravedad CVSS v2.0:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
25/07/2006
Última modificación:
03/04/2025
Descripción
** IMPUGNADA ** Vulnerabilidad de inclusión remota de archivo en PHP en upgrader.php de Vanilla CMS 1.0.1 y anteriores, cuando existe /conf/old_settings.php, permite a atacantes remotos ejecutar código PHP de su elección mediante un URL en el parámetro RootDirectory. NOTA: esta vulnerabilidad ha sido impugnada por una tercera parte que afirma que el parámetro RootDirectory se inicializa antes de ser utilizado, para la versión 1.0. El análisis de CVE coincide con la impugnación, pero no está claro si las versiones anteriores están afectadas.
Impacto
Puntuación base 2.0
5.10
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:lussumo:vanilla:*:*:*:*:*:*:*:* | 1.0.1 (incluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://securityreason.com/securityalert/1281
- http://securitytracker.com/id?1016568=
- http://www.attrition.org/pipermail/vim/2006-July/000937.html
- http://www.attrition.org/pipermail/vim/2006-July/000944.html
- http://www.osvdb.org/28287
- http://www.securityfocus.com/archive/1/440938/100/0/threaded
- http://www.securityfocus.com/archive/1/442450/100/0/threaded
- http://www.securityfocus.com/bid/19127
- http://securityreason.com/securityalert/1281
- http://securitytracker.com/id?1016568=
- http://www.attrition.org/pipermail/vim/2006-July/000937.html
- http://www.attrition.org/pipermail/vim/2006-July/000944.html
- http://www.osvdb.org/28287
- http://www.securityfocus.com/archive/1/440938/100/0/threaded
- http://www.securityfocus.com/archive/1/442450/100/0/threaded
- http://www.securityfocus.com/bid/19127