Vulnerabilidad en Italtel NetMatch-S CI 5.2.0-20211008 (CVE-2022-39812)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-22
Limitación incorrecta de nombre de ruta a un directorio restringido (Path Traversal)
Fecha de publicación:
27/01/2023
Última modificación:
28/03/2025
Descripción
Italtel NetMatch-S CI 5.2.0-20211008 permite el recorrido de ruta absoluto en NMSCI-WebGui/SaveFileUploader. Un usuario no autenticado puede cargar archivos en una ruta arbitraria. Un atacante puede cambiar el parámetro uploadDir en una solicitud POST (no es posible usando la GUI) a un directorio arbitrario. Debido a que la aplicación no verifica en qué directorio se cargará un archivo, un atacante puede realizar una variedad de ataques que pueden resultar en un acceso no autorizado al servidor.
Impacto
Puntuación base 3.x
7.50
Gravedad 3.x
ALTA
Productos y versiones vulnerables
CPE | Desde | Hasta |
---|---|---|
cpe:2.3:a:italtel:netmatch-s_ci:5.2.0-20211008:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página