Vulnerabilidad en Znuny y Znuny LTS (CVE-2024-32491)
Gravedad CVSS v3.1:
CRÍTICA
Tipo:
CWE-94
Control incorrecto de generación de código (Inyección de código)
Fecha de publicación:
29/04/2024
Última modificación:
03/07/2024
Descripción
Se descubrió un problema en Znuny y Znuny LTS 6.0.31 a 6.5.7 y Znuny 7.0.1 a 7.0.16 donde un usuario que inició sesión puede cargar un archivo (a través de una solicitud AJAX manipulada) a una ubicación de escritura arbitraria atravesando rutas. Se puede ejecutar código arbitrario si esta ubicación está disponible públicamente a través del servidor web.
Impacto
Puntuación base 3.x
9.80
Gravedad 3.x
CRÍTICA