Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en diferentes archivos en los parámetros contenido_path, cfg[path][contenido], cfg[path][templates] y cfg[templates][right_top_blank] en Contenido CMS (CVE-2008-2912)

Gravedad CVSS v2.0:
ALTA
Tipo:
CWE-94 Control incorrecto de generación de código (Inyección de código)
Fecha de publicación:
30/06/2008
Última modificación:
09/04/2025

Descripción

Múltiples vulnerabilidades de inclusión de archivos remotos PHP en Contenido CMS versión 4.8.4, permiten a los atacantes remotos ejecutar código PHP arbitrario por medio de una URL en el (1) parámetro contenido_path en (a) el archivo contenido/backend_search.php; el (2) parámetro cfg[path][contenido] en los archivos (b) move_articles.php, (c) move_old_stats.php, (d) optimize_database.php, (e) run_newsletter_job.php, (f) send_reminder.php, (g) session_cleanup.php, y (h) setfrontenduserstate.php en contenido/cronjobs/, y los archivos (i) includes/include.newsletter_jobs_subnav.php y (j) plugins/content_allocation/includes/include.right_top.php en contenido/; el (3) parámetro cfg[path][templates] en los archivos (k) includes/include.newsletter_jobs_subnav.php y (l) plugins/content_allocation/includes/include.right_top.php en contenido/; y (4) parámetro cfg[templates][right_top_blank] en los archivos (m) plugins/content_allocation/includes/include.right_top.php y (n) contenido/includes/include.newsletter_jobs_subnav.php en contenido/, vectores diferentes de CVE-2006-5380.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:contenido:contenido_cms:4.8.4:*:*:*:*:*:*:*