Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en Jaws (CVE-2020-35656)

Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-434 Subida sin restricciones de ficheros de tipos peligrosos
Fecha de publicación:
23/12/2020
Última modificación:
23/12/2020

Descripción

Jaws hasta la versión 1.8.0 permite a los administradores autentificados a distancia ejecutar código arbitrario mediante el uso artesanal de admin.php?reqGadget=Components&reqAction=InstallGadget&comp=FileBrowser y admin.php?reqGadget=FileBrowser&reqAction=Files para subir un archivo .php. NOTA: esto no está relacionado con el producto JAWS (alias Job Access With Speech)

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:jaws_project:jaws:*:*:*:*:*:*:*:* 1.8.0 (incluyendo)