Vulnerabilidad en PhpTax (CVE-2012-10037)

Gravedad CVSS v4.0:

CRÍTICA

Tipo:

CWE-78 Neutralización incorrecta de elementos especiales usados en un comando de sistema operativo (Inyección de comando de sistema operativo)

Fecha de publicación:

11/08/2025

Última modificación:

11/08/2025

Descripción

La versión 0.8 de PhpTax contiene una vulnerabilidad de ejecución remota de código en drawimage.php. El parámetro GET de pfilez se pasa de forma insegura a la función exec() sin depuración. Un atacante remoto puede inyectar comandos de shell arbitrarios, lo que provoca la ejecución de código en el contexto del servidor web. No se requiere autenticación.

Impacto

Vector 4.0

CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N CVSS v4.0 Severidad y Métricas:

Puntuación base: 9.30 CRÍTICA
Vector: CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Attack Requirements (AT): Ninguno
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Confidentiality (VC): Alto
Integrity (VI): Alto
Availability (VA): Alto
Confidentiality (SC): Ninguno
Integrity (SI): Ninguno
Availability (SA): Ninguno

Puntuación base 4.0

9.30

Gravedad 4.0

CRÍTICA

Vulnerabilidad en PhpTax (CVE-2012-10037)

Descripción

Impacto

Referencias a soluciones, herramientas e información