Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en un servidor en una actualización del archivo de avatar en la ruta /images/ en Sourcefabric Newscoop (CVE-2020-11807)

Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-434 Subida sin restricciones de ficheros de tipos peligrosos
Fecha de publicación:
19/05/2020
Última modificación:
20/05/2020

Descripción

Debido a una Carga Sin Restricciones de un archivo con un Dangerous Type, Sourcefabric Newscoop versión 4.4.7, permite a un usuario autenticado ejecutar código PHP arbitrario (y, a veces, comandos de terminal) en un servidor al realizar una actualización de avatar y lego visitando el archivo de avatar bajo de la ruta /images/.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:sourcefabric:newscoop:4.4.7:*:*:*:*:*:*:*