Vulnerabilidad en Múltiples inclusiones PHP remotas en Webmedia Explorer (webmex) 3.2.2 (CVE-2007-4948)
Gravedad CVSS v2.0:
MEDIA
Tipo:
CWE-94
Control incorrecto de generación de código (Inyección de código)
Fecha de publicación:
18/09/2007
Última modificación:
09/04/2025
Descripción
Múltiples vulnerabilidades de inclusión remota de archivo en PHP en Webmedia Explorer (webmex) 3.2.2 permiten a atacantes remotos ejecutar código PHP de su elección (1) mediante un URL en el parámetro path_include de includes/rss.class.php, (2) un URL en el parámetro path_template de (a) tempaltes/main.tpl.php o (b) templates/folder_messages_link_message_name.tpl. o (4) un URL en el parámetro path_templates de templates/sidebar.tpl.php. NOTA: la vulnerabilidad está presente sólo cuando el administrador no sigue las instrucciones de instalación sobre el requisito para soporte de .htaccess. NOTA: el vector includes/core.lib.php está ya cubierto por CVE-2006-5252.
Impacto
Puntuación base 2.0
5.10
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:webmedia_explorer:webmedia_explorer:3.2.2:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://arfis.wordpress.com/2007/09/14/rfi-03-webmedia-explorer/
- http://osvdb.org/43140
- http://osvdb.org/43141
- http://osvdb.org/43142
- http://osvdb.org/43143
- http://arfis.wordpress.com/2007/09/14/rfi-03-webmedia-explorer/
- http://osvdb.org/43140
- http://osvdb.org/43141
- http://osvdb.org/43142
- http://osvdb.org/43143