Vulnerabilidad en Kloxo (CVE-2014-125123)
Gravedad CVSS v4.0:
CRÍTICA
Tipo:
CWE-89
Neutralización incorrecta de elementos especiales usados en un comando SQL (Inyección SQL)
Fecha de publicación:
31/07/2025
Última modificación:
31/07/2025
Descripción
Existe una vulnerabilidad de inyección SQL no autenticada en el panel de control de alojamiento web Kloxo (desarrollado por LXCenter) anterior a la versión 6.1.12. La falla reside en el parámetro login-name pasado a lbin/webcommand.php, que no depura correctamente la entrada, lo que permite a un atacante extraer la contraseña del administrador de la base de datos del servidor. Tras recuperar credenciales válidas, el atacante puede autenticarse en el panel de control Kloxo y usar la función del Centro de Comandos (display.php) para ejecutar comandos arbitrarios del sistema operativo como root en el sistema host subyacente. Se informó de la explotación de esta vulnerabilidad en enero de 2014.
Impacto
Puntuación base 4.0
10.00
Gravedad 4.0
CRÍTICA
Referencias a soluciones, herramientas e información
- https://github.com/lxcenter/kloxo
- https://raw.githubusercontent.com/rapid7/metasploit-framework/master/modules/exploits/linux/http/kloxo_sqli.rb
- https://web.archive.org/web/20140301125222/http://www.webhostingtalk.com/showthread.php?p=8996984
- https://web.archive.org/web/20141118054734/https://vpsboard.com/topic/3384-kloxo-installations-compromised/
- https://www.exploit-db.com/exploits/31577
- https://www.vulncheck.com/advisories/kloxo-unauth-sqli-rce