Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en Quick.CMS 6.7 (CVE-2024-11992)

Gravedad CVSS v3.1:
CRÍTICA
Tipo:
CWE-22 Limitación incorrecta de nombre de ruta a un directorio restringido (Path Traversal)
Fecha de publicación:
29/11/2024
Última modificación:
29/11/2024

Descripción

Vulnerabilidad de recorrido de ruta absoluta en Quick.CMS, versión 6.7, cuya explotación podría permitir a usuarios remotos eludir las restricciones previstas y descargar cualquier archivo si tiene los permisos adecuados fuera de documentnanconfigurado en el servidor a través del parámetro aDirFiles%5B0%5D en la página admin.php. Esta vulnerabilidad permite a un atacante eliminar archivos almacenados en el servidor debido a la falta de una verificación adecuada de la entrada proporcionada por el usuario.