Vulnerabilidad en WeBid 1.0.2 (CVE-2011-10011)
Gravedad CVSS v4.0:
CRÍTICA
Tipo:
CWE-94
Control incorrecto de generación de código (Inyección de código)
Fecha de publicación:
13/08/2025
Última modificación:
14/08/2025
Descripción
WeBid 1.0.2 contiene una vulnerabilidad de inyección remota de código en el script convert.php, donde la entrada no depurada del parámetro "to" de una solicitud POST se escribe directamente en el archivo "includes/currencies.php". Esto permite a atacantes no autenticados inyectar código PHP arbitrario, lo que resulta en la ejecución remota persistente de código cuando la aplicación accede o incluye el script modificado.
Impacto
Puntuación base 4.0
10.00
Gravedad 4.0
CRÍTICA
Referencias a soluciones, herramientas e información
- https://raw.githubusercontent.com/rapid7/metasploit-framework/master/modules/exploits/linux/http/webid_converter.rb
- https://sourceforge.net/projects/simpleauction/
- https://web.archive.org/web/20121024110058/http://www.webidsupport.com/forums/showthread.php?3892=
- https://www.exploit-db.com/exploits/17487
- https://www.exploit-db.com/exploits/18934
- https://www.vulncheck.com/advisories/webid-remote-php-code-injection
- https://raw.githubusercontent.com/rapid7/metasploit-framework/master/modules/exploits/linux/http/webid_converter.rb