Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en los caracteres en la función file upload de Grand Vice info Co. Webopac7 (CVE-2021-42839)

Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-434 Subida sin restricciones de ficheros de tipos peligrosos
Fecha de publicación:
15/11/2021
Última modificación:
16/11/2021

Descripción

La función file upload de Grand Vice info Co. webopac7 falla al filtrar caracteres especiales. Mientras es iniciada la sesión con el permiso del usuario general, atacantes remotos pueden cargar un script malicioso y ejecutar código arbitrario para controlar el sistema o interrumpir los servicios

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:vice:webopac:1.8.20160701:*:*:*:*:*:*:*
cpe:2.3:a:vice:webopac:7.1.20160701:*:*:*:*:*:*:*


Referencias a soluciones, herramientas e información