Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en el archivo editor/filemanager/upload/php/upload.php en FCKeditor, usado en SiteX CMS, La-Nai CMS, Syntax CMS, Cardinal Cms, y otros productos (CVE-2007-5156)

Gravedad CVSS v2.0:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
01/10/2007
Última modificación:
09/04/2025

Descripción

Una vulnerabilidad de lista negra incompleta en el archivo editor/filemanager/upload/php/upload.php en FCKeditor, tal y como es usado en SiteX CMS versiones 0.7.3.beta, La-Nai CMS, Syntax CMS, Cardinal Cms, y probablemente otros productos, permite a atacantes remotos cargar y ejecutar código PHP arbitrario por medio de un archivo cuyo nombre contiene ".php." y que presenta una extensión desconocida, la cual es reconocida como un archivo .php por el servidor HTTP de Apache, una vulnerabilidad diferente de CVE-2006-0658 y CVE-2006-2529.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:cardinal_cms_project:cardinal_cms:1.2:*:*:*:*:*:*:*
cpe:2.3:a:redlinesoft:lanai_cms:*:*:*:*:*:*:*:* 1.2.16 (incluyendo)
cpe:2.3:a:sitex_cms_project:sitex_cms:0.7.3:beta:*:*:*:*:*:*
cpe:2.3:a:syntax_cms_project:syntax_cms:*:*:*:*:*:*:*:* 1.3 (incluyendo)


Referencias a soluciones, herramientas e información