Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en Znuny y Znuny LTS (CVE-2024-32491)

Gravedad CVSS v3.1:
CRÍTICA
Tipo:
CWE-94 Control incorrecto de generación de código (Inyección de código)
Fecha de publicación:
29/04/2024
Última modificación:
03/07/2024

Descripción

Se descubrió un problema en Znuny y Znuny LTS 6.0.31 a 6.5.7 y Znuny 7.0.1 a 7.0.16 donde un usuario que inició sesión puede cargar un archivo (a través de una solicitud AJAX manipulada) a una ubicación de escritura arbitraria atravesando rutas. Se puede ejecutar código arbitrario si esta ubicación está disponible públicamente a través del servidor web.

Referencias a soluciones, herramientas e información