Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en Froxlor (CVE-2018-1000527)

Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-502 Deserialización de datos no confiables
Fecha de publicación:
26/06/2018
Última modificación:
24/08/2020

Descripción

Froxlor en versiones iguales o anteriores a la 0.9.39.5 contiene una vulnerabilidad de inyección de objetos PHP en el nombre del dominio que puede resultar en una divulgación de información y en la ejecución remota de código. El ataque parece ser explotable pasando objetos PHP maliciosos en $_POST['ssl_ipandport']. La vulnerabilidad parece haber sido solucionada tras el commit con ID c1e62e6.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:froxlor:froxlor:*:*:*:*:*:*:*:* 0.9.39.5 (incluyendo)