Vulnerabilidad en XODA (CVE-2012-10045)
Gravedad CVSS v4.0:
CRÍTICA
Tipo:
CWE-434
Subida sin restricciones de ficheros de tipos peligrosos
Fecha de publicación:
08/08/2025
Última modificación:
08/08/2025
Descripción
La versión 0.4.5 de XODA contiene una vulnerabilidad de carga de archivos no autenticados que permite a atacantes remotos ejecutar código PHP arbitrario en el servidor. La falla reside en la función de carga, que no valida ni restringe correctamente los tipos de archivos cargados. Al manipular una solicitud POST multipart/form-data, un atacante puede cargar un archivo .php directamente en el directorio files/, accesible desde la web, y activar su ejecución mediante una solicitud GET posterior.
Impacto
Puntuación base 4.0
9.30
Gravedad 4.0
CRÍTICA
Referencias a soluciones, herramientas e información
- https://raw.githubusercontent.com/rapid7/metasploit-framework/master/modules/exploits/unix/webapp/xoda_file_upload.rb
- https://sourceforge.net/projects/xoda/
- https://www.exploit-db.com/exploits/20703
- https://www.exploit-db.com/exploits/20713
- https://www.vulncheck.com/advisories/xoda-arbitrary-php-file-upload
- https://xoda.org/
- https://raw.githubusercontent.com/rapid7/metasploit-framework/master/modules/exploits/unix/webapp/xoda_file_upload.rb
- https://www.exploit-db.com/exploits/20703
- https://www.exploit-db.com/exploits/20713