Vulnerabilidad en Statmatic (CVE-2024-52600)

Gravedad CVSS v3.1:

MEDIA

Tipo:

CWE-22 Limitación incorrecta de nombre de ruta a un directorio restringido (Path Traversal)

Fecha de publicación:

19/11/2024

Última modificación:

19/11/2024

Descripción

Statmatic es un sistema de gestión de contenido (CMS) basado en Laravel y Git. Antes de la versión 5.17.0, los recursos cargados con nombres de archivo manipulados de forma adecuada podían hacer que se colocaran en una ubicación diferente a la configurada. El problema afecta a los formularios de interfaz con campos de "recursos" y otros lugares donde se pueden cargar recursos, aunque los usuarios necesitarían permisos de carga de todos modos. Los archivos se pueden cargar para que se ubiquen en el servidor en una ubicación diferente y potencialmente anulen los archivos existentes. No es posible atravesar un contenedor de recursos fuera de él. Esta vulnerabilidad de path traversal se ha corregido en la versión 5.17.0.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 5.30 MEDIA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Ninguno
Impacto a la integridad (I): Bajo
Impacto a la disponibilidad (A): Ninguno

Puntuación base 3.x

5.30

Gravedad 3.x

MEDIA

Vulnerabilidad en Statmatic (CVE-2024-52600)

Descripción

Impacto

Referencias a soluciones, herramientas e información