Vulnerabilidad en archivo includesxml.php en el módulo the Netenberg Fantastico De Luxe para cPanel (CVE-2008-4181)
Gravedad CVSS v2.0:
MEDIA
Tipo:
CWE-22
Limitación incorrecta de nombre de ruta a un directorio restringido (Path Traversal)
Fecha de publicación:
23/09/2008
Última modificación:
09/04/2025
Descripción
Vulnerabilidad de salto de directorio en includes/xml.php para el módulo the Netenberg Fantastico De Luxe y versiones anteriores a 2.10.4 r19 para cPanel, cuando cPanel PHP Register Globals está habilitado, permite a los usuarios remotos autentificados incluir y ejecutar arbitrariamente archivos locales a través de .. (punto punto)o una ruta absoluta en el parámetro fantasticopath . NOTA: en algunos entornos, esto puede ser aprovechado para la inclusión de archivos remotos, usando una ruta compartid UNC o un ftp, ftps, o ssh2.sftp URL.
Impacto
Puntuación base 2.0
6.80
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:netenberg:fantastico_de_luxe:*:r12:*:*:*:*:*:* | 2.8.2 (incluyendo) | |
| cpe:2.3:a:netenberg:fantastico_de_luxe:*:r11:*:*:*:*:*:* | 2.8.8 (incluyendo) | |
| cpe:2.3:a:netenberg:fantastico_de_luxe:*:r17:*:*:*:*:*:* | 2.10.0 (incluyendo) | |
| cpe:2.3:a:netenberg:fantastico_de_luxe:*:r8:*:*:*:*:*:* | 2.10.0 (incluyendo) | |
| cpe:2.3:a:netenberg:fantastico_de_luxe:*:r46:*:*:*:*:*:* | 2.10.2 (incluyendo) | |
| cpe:2.3:a:netenberg:fantastico_de_luxe:*:r18:*:*:*:*:*:* | 2.10.4 (incluyendo) | |
| cpe:2.3:a:netenberg:fantastico_de_luxe:2.8.2:r1:*:*:*:*:*:* | ||
| cpe:2.3:a:netenberg:fantastico_de_luxe:2.8.2:r10:*:*:*:*:*:* | ||
| cpe:2.3:a:netenberg:fantastico_de_luxe:2.8.2:r11:*:*:*:*:*:* | ||
| cpe:2.3:a:netenberg:fantastico_de_luxe:2.8.2:r2:*:*:*:*:*:* | ||
| cpe:2.3:a:netenberg:fantastico_de_luxe:2.8.2:r3:*:*:*:*:*:* | ||
| cpe:2.3:a:netenberg:fantastico_de_luxe:2.8.2:r4:*:*:*:*:*:* | ||
| cpe:2.3:a:netenberg:fantastico_de_luxe:2.8.2:r5:*:*:*:*:*:* | ||
| cpe:2.3:a:netenberg:fantastico_de_luxe:2.8.2:r6:*:*:*:*:*:* | ||
| cpe:2.3:a:netenberg:fantastico_de_luxe:2.8.2:r7:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://secunia.com/advisories/31863
- http://securityreason.com/securityalert/4301
- http://www.netenberg.com/forum/index.php?topic=6768.0
- http://www.securityfocus.com/bid/31196
- https://exchange.xforce.ibmcloud.com/vulnerabilities/45147
- https://www.exploit-db.com/exploits/6461
- http://secunia.com/advisories/31863
- http://securityreason.com/securityalert/4301
- http://www.netenberg.com/forum/index.php?topic=6768.0
- http://www.securityfocus.com/bid/31196
- https://exchange.xforce.ibmcloud.com/vulnerabilities/45147
- https://www.exploit-db.com/exploits/6461