Vulnerabilidad en aplicación V-webmail (CVE-2008-6840)
Gravedad CVSS v2.0:
MEDIA
Tipo:
CWE-94
Control incorrecto de generación de código (Inyección de código)
Fecha de publicación:
01/07/2009
Última modificación:
09/04/2025
Descripción
Múltiples vulnerabilidades de inclusión remota de archivo PHP en V-webmail v1.6.4, permite a atacantes remotos ejecutar código PHP de su elección a través de una URL en el parámetro:(1) CONFIG[pear_dir] a (a) Mail/RFC822.php, (b) Net/Socket.php, (c) XML/Parser.php, (d) XML/Tree.php, (e) Mail/mimeDecode.php, (f) Console/Getopt.php, (g) System.php, (h) Log.php, y (i) File.php in includes/pear/; el parámetro CONFIG[pear_dir] a (j) includes/prepend.php, y (k) includes/cachedConfig.php; y el parámetro (2) CONFIG[includes] a (l) prepend.php y (m) email.list.search.php en includes/. NOTE: el parámetro CONFIG[pear_dir] a includes/mailaccess/pop3.php está corregido CVE-2006-2666.
Impacto
Puntuación base 2.0
6.80
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:christof_bruyland:v-webmail:1.6.4:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://packetstormsecurity.org/0807-exploits/vwebmail-rfi.txt
- http://www.securityfocus.com/bid/30162
- https://exchange.xforce.ibmcloud.com/vulnerabilities/46680
- http://packetstormsecurity.org/0807-exploits/vwebmail-rfi.txt
- http://www.securityfocus.com/bid/30162
- https://exchange.xforce.ibmcloud.com/vulnerabilities/46680