Vulnerabilidad en DokuWiki (CVE-2009-1960)
Gravedad CVSS v2.0:
ALTA
Tipo:
CWE-94
Control incorrecto de generación de código (Inyección de código)
Fecha de publicación:
08/06/2009
Última modificación:
09/04/2025
Descripción
inc/init.php de DokuWiki 2009-02-14, rc2009-02-06 y rc2009-01-30, cuando register_globals está habilitado, permite a atacantes remotos incluir y ejecutar ficheros locales de su elección a través del parámetro config_cascade[main][default][] de doku.php. NOTA: también es posible una inclusión remota de fichero PHP en PHP v5 que utilice URLs ftp://.
Impacto
Puntuación base 2.0
9.30
Gravedad 2.0
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:dokuwiki:dokuwiki:2009-02-14:*:*:*:*:*:*:* | ||
| cpe:2.3:a:dokuwiki:dokuwiki:rc2009-01-30:*:*:*:*:*:*:* | ||
| cpe:2.3:a:dokuwiki:dokuwiki:rc2009-02-06:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://bugs.splitbrain.org/index.php?do=details&task_id=1700
- http://dev.splitbrain.org/darcsweb/darcsweb.cgi?r=dokuwiki%3Ba%3Dcommitdiff%3Bh%3D20090526145030-7ad00-c0483e021f47898c8597f3bfbdd26c637f891d86.gz
- http://secunia.com/advisories/35218
- http://www.securityfocus.com/bid/35095
- https://www.exploit-db.com/exploits/8781
- https://www.exploit-db.com/exploits/8812
- http://bugs.splitbrain.org/index.php?do=details&task_id=1700
- http://dev.splitbrain.org/darcsweb/darcsweb.cgi?r=dokuwiki%3Ba%3Dcommitdiff%3Bh%3D20090526145030-7ad00-c0483e021f47898c8597f3bfbdd26c637f891d86.gz
- http://secunia.com/advisories/35218
- http://www.securityfocus.com/bid/35095
- https://www.exploit-db.com/exploits/8781
- https://www.exploit-db.com/exploits/8812