Vulnerabilidad en EGroupware Enterprise Line, EGroupware Community Edition y EGroupware (CVE-2014-2988)
Gravedad CVSS v2.0:
ALTA
Tipo:
CWE-94
Control incorrecto de generación de código (Inyección de código)
Fecha de publicación:
27/10/2014
Última modificación:
12/04/2025
Descripción
EGroupware Enterprise Line (EPL) anterior a 1.1.20140505, EGroupware Community Edition anterior a 1.8.007.20140506, y EGroupware anterior a 14.1 beta permite a administradores remotos autenticados ejecutar código PHP arbitrario a través de valores de rellamada manipulados en la función de PHP call_user_func, tal y como fue demostrado mediante la utilización del parámetro newsettings[system]. NOTA: esto puede ser explotado por atacantes remotos que se aprovechan de CVE-2014-2987.
Impacto
Puntuación base 2.0
8.50
Gravedad 2.0
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:egroupware:egroupware:*:*:*:*:*:*:*:* | 1.6.001 (incluyendo) | |
| cpe:2.3:a:egroupware:egroupware:*:*:*:*:community:*:*:* | 1.8006 (incluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://advisories.mageia.org/MGASA-2014-0221.html
- http://www.mandriva.com/security/advisories?name=MDVSA-2015%3A087
- http://www.securityfocus.com/archive/1/532103/100/0/threaded
- https://www.htbridge.com/advisory/HTB23212
- http://advisories.mageia.org/MGASA-2014-0221.html
- http://www.mandriva.com/security/advisories?name=MDVSA-2015%3A087
- http://www.securityfocus.com/archive/1/532103/100/0/threaded
- https://www.htbridge.com/advisory/HTB23212