Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en Múltiples inclusiones PHP remotas en Webmedia Explorer (webmex) 3.2.2 (CVE-2007-4948)

Gravedad CVSS v2.0:
MEDIA
Tipo:
CWE-94 Control incorrecto de generación de código (Inyección de código)
Fecha de publicación:
18/09/2007
Última modificación:
09/04/2025

Descripción

Múltiples vulnerabilidades de inclusión remota de archivo en PHP en Webmedia Explorer (webmex) 3.2.2 permiten a atacantes remotos ejecutar código PHP de su elección (1) mediante un URL en el parámetro path_include de includes/rss.class.php, (2) un URL en el parámetro path_template de (a) tempaltes/main.tpl.php o (b) templates/folder_messages_link_message_name.tpl. o (4) un URL en el parámetro path_templates de templates/sidebar.tpl.php. NOTA: la vulnerabilidad está presente sólo cuando el administrador no sigue las instrucciones de instalación sobre el requisito para soporte de .htaccess. NOTA: el vector includes/core.lib.php está ya cubierto por CVE-2006-5252.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:webmedia_explorer:webmedia_explorer:3.2.2:*:*:*:*:*:*:*