Vulnerabilidad en Project Issue Tracking 5.x-2.x-dev antes del 2008-01-30 en las series 5.x-2.x, 5.x-1.2 y anteriores, en las series 5.x-1.x, 4.7.x-2.6 y anteriores, en las series 4.7.x-2.x, y 4.7.x-1.6 y anteriores en las series 4.7.x-1.x para Drupal, ejecución de archivo (CVE-2008-0577)

Gravedad CVSS v2.0:

MEDIA

Tipo:

CWE-264 Permisos, privilegios y/o control de acceso

Fecha de publicación:

05/02/2008

Última modificación:

09/04/2025

Descripción

El módulo Project Issue Tracking 5.x-2.x-dev antes del 2008-01-30 en las series 5.x-2.x, 5.x-1.2 y anteriores, en las series 5.x-1.x, 4.7.x-2.6 y anteriores, en las series 4.7.x-2.x, y 4.7.x-1.6 y anteriores en las series 4.7.x-1.x para Drupal. (1) No restringe las extensiones de archivos adjuntos cuando el módulo Upload (actualizar) está activado para nodos issue (emitidos), lo que permite a atacantes remotos actualizar y posiblemente ejecutar archivos arbitrarios; y (2) acepta la extensión .html dentro de la funcionalidad de actualización de archivos empaquetados, lo que permite a atacantes remotos actualizar archivos que contengan scripts web o HTMLs arbitrarios.

Impacto

Vector 2.0

AV:N/AC:L/Au:N/C:P/I:P/A:N CVSS v2.0 Severidad y Métricas:

Puntuación base: 6.40 MEDIA
Vector: AV:N/AC:L/Au:N/C:P/I:P/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Autenticación (Au): Ninguno
Impacto a la confidencialidad (C): Físico
Impacto a la integridad (I): Físico
Impacto a la disponibilidad (A): Ninguno