Vulnerabilidad en un servidor en una actualización del archivo de avatar en la ruta /images/ en Sourcefabric Newscoop (CVE-2020-11807)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-434
Subida sin restricciones de ficheros de tipos peligrosos
Fecha de publicación:
19/05/2020
Última modificación:
20/05/2020
Descripción
Debido a una Carga Sin Restricciones de un archivo con un Dangerous Type, Sourcefabric Newscoop versión 4.4.7, permite a un usuario autenticado ejecutar código PHP arbitrario (y, a veces, comandos de terminal) en un servidor al realizar una actualización de avatar y lego visitando el archivo de avatar bajo de la ruta /images/.
Impacto
Puntuación base 3.x
7.80
Gravedad 3.x
ALTA
Puntuación base 2.0
4.60
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
CPE | Desde | Hasta |
---|---|---|
cpe:2.3:a:sourcefabric:newscoop:4.4.7:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página