Vulnerabilidad en ProcessMaker (CVE-2013-10035)

Gravedad CVSS v4.0:

ALTA

Tipo:

CWE-94 Control incorrecto de generación de código (Inyección de código)

Fecha de publicación:

31/07/2025

Última modificación:

31/07/2025

Descripción

Existe una vulnerabilidad de inyección de código en las versiones 2.x de código abierto de ProcessMaker al usar la interfaz predeterminada "neoclassic". Un usuario autenticado puede ejecutar código PHP arbitrario a través de múltiples endpoints, como appFolderAjax.php, casesStartPage_Ajax.php y cases_SchedulerGetPlugins.php, al proporcionar solicitudes POST manipuladas a parámetros como action y params. Estos endpoints no validan la entrada del usuario e invocan directamente funciones PHP como system() con parámetros proporcionados por el usuario, lo que permite la ejecución remota de código. La vulnerabilidad afecta tanto a instalaciones de Linux como de Windows y está presente en las configuraciones predeterminadas de las versiones 2.0.23 a 2.5.1. La interfaz vulnerable no se puede eliminar a través de la interfaz web, y para su explotación solo se requieren credenciales de usuario válidas.

Impacto

Vector 4.0

CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N CVSS v4.0 Severidad y Métricas:

Puntuación base: 8.70 ALTA
Vector: CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Attack Requirements (AT): Ninguno
Privilegios Requeridos (PR): Bajo
Interacción del usuario (UI): Ninguno
Confidentiality (VC): Alto
Integrity (VI): Alto
Availability (VA): Alto
Confidentiality (SC): Ninguno
Integrity (SI): Ninguno
Availability (SA): Ninguno

Puntuación base 4.0

8.70

Gravedad 4.0

ALTA

Vulnerabilidad en ProcessMaker (CVE-2013-10035)

Descripción

Impacto

Referencias a soluciones, herramientas e información