Vulnerabilidad en Parallels Virtuozzo (CVE-2008-6478)
Gravedad CVSS v2.0:
MEDIA
Tipo:
CWE-352
Falsificación de petición en sitios cruzados (Cross-Site Request Forgery)
Fecha de publicación:
16/03/2009
Última modificación:
09/04/2025
Descripción
Vulnerabilidad de falsificación de petición en sitios cruzados (CSRF) en el gestor de ficheros en el interfaz web VZPP en Parallels Virtuozzo 365.6.swsoft (disponible en v4.0.0 - v365.6.swsoft) y v25.4.swsoft (disponible en v3.0.0 - v25.4.swsoft) permite a atacantes remotos crear y borrar ficheros de su elección como usuario administrador mediante un enlace o etiqueta IMG en (1) "create-file" y (2) "list-control" en vz/cp/vzdir/infrman/envs/files/; o modificar configuración del sistema mediante el parémetro "path" en vz/cp/vzdir/infrman/envs/files/index.
Impacto
Puntuación base 2.0
6.80
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:parallels:virtuozzo_containers:3.0.0-25.4.swsoft:*:*:*:*:*:*:* | ||
| cpe:2.3:a:parallels:virtuozzo_containers:4.0.0-365.6.swsoft:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://osvdb.org/44395
- http://px.dynalias.org/files/virtuozzo_overwrite.html.txt
- http://secunia.com/advisories/29675
- http://www.securityfocus.com/archive/1/490409/100/0/threaded
- http://www.securityfocus.com/bid/28589
- https://exchange.xforce.ibmcloud.com/vulnerabilities/41640
- http://osvdb.org/44395
- http://px.dynalias.org/files/virtuozzo_overwrite.html.txt
- http://secunia.com/advisories/29675
- http://www.securityfocus.com/archive/1/490409/100/0/threaded
- http://www.securityfocus.com/bid/28589
- https://exchange.xforce.ibmcloud.com/vulnerabilities/41640