Vulnerabilidad en Firewall Antispam y Virus, SSL VPN y Firewall de Aplicaciones Web (CVE-2010-20109)
Gravedad CVSS v4.0:
ALTA
Tipo:
CWE-22
Limitación incorrecta de nombre de ruta a un directorio restringido (Path Traversal)
Fecha de publicación:
21/08/2025
Última modificación:
22/08/2025
Descripción
Los productos Barracuda, confirmados en versiones de Firewall Antispam y Virus, SSL VPN y Firewall de Aplicaciones Web anteriores a octubre de 2010, contienen una vulnerabilidad de path traversal en el endpoint view_help.cgi. El parámetro locale no depura correctamente la entrada del usuario, lo que permite a los atacantes inyectar secuencias de cruce y terminadores de byte nulo para acceder a archivos arbitrarios en el sistema subyacente. Al explotar esta vulnerabilidad, atacantes remotos no autenticados pueden recuperar archivos de configuración confidenciales como /mail/snapshot/config.snapshot, lo que podría exponer credenciales, configuración interna y otros datos críticos.
Impacto
Puntuación base 4.0
8.70
Gravedad 4.0
ALTA
Referencias a soluciones, herramientas e información
- https://raw.githubusercontent.com/rapid7/metasploit-framework/master/modules/auxiliary/scanner/http/barracuda_directory_traversal.rb
- https://web.archive.org/web/20101004131244/http://secunia.com/advisories/41609/
- https://www.exploit-db.com/exploits/15130
- https://www.vulncheck.com/advisories/barracuda-multiple-products-locale-path-traversal