Vulnerabilidad en Security Screen en SPIP (CVE-2013-4557)
Gravedad CVSS v2.0:
ALTA
Tipo:
CWE-94
Control incorrecto de generación de código (Inyección de código)
Fecha de publicación:
18/11/2013
Última modificación:
11/04/2025
Descripción
Security Screen (_core_/securite/ecran_securite.php) anterior a la versión 1.1.8 para SPIP, tal y como se usa en SPIP 3.0.x anterior a 3.0.12, permite a atacantes remotos ejecutar PHP arbitrario a través del parámetro connect.
Impacto
Puntuación base 2.0
7.50
Gravedad 2.0
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:spip:spip:3.0.0:*:*:*:*:*:*:* | ||
| cpe:2.3:a:spip:spip:3.0.1:*:*:*:*:*:*:* | ||
| cpe:2.3:a:spip:spip:3.0.2:*:*:*:*:*:*:* | ||
| cpe:2.3:a:spip:spip:3.0.3:*:*:*:*:*:*:* | ||
| cpe:2.3:a:spip:spip:3.0.4:*:*:*:*:*:*:* | ||
| cpe:2.3:a:spip:spip:3.0.5:*:*:*:*:*:*:* | ||
| cpe:2.3:a:spip:spip:3.0.6:*:*:*:*:*:*:* | ||
| cpe:2.3:a:spip:spip:3.0.7:*:*:*:*:*:*:* | ||
| cpe:2.3:a:spip:spip:3.0.8:*:*:*:*:*:*:* | ||
| cpe:2.3:a:spip:spip:3.0.9:*:*:*:*:*:*:* | ||
| cpe:2.3:a:spip:spip:3.0.10:*:*:*:*:*:*:* | ||
| cpe:2.3:a:spip:spip:3.0.11:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://secunia.com/advisories/55551
- http://www.openwall.com/lists/oss-security/2013/11/10/4
- http://www.securitytracker.com/id/1029317
- http://www.spip.net/fr_article5646.html
- http://www.spip.net/fr_article5648.html
- http://zone.spip.org/trac/spip-zone/changeset/75105/_core_/securite/ecran_securite.php
- https://www.debian.org/security/2013/dsa-2794
- http://secunia.com/advisories/55551
- http://www.openwall.com/lists/oss-security/2013/11/10/4
- http://www.securitytracker.com/id/1029317
- http://www.spip.net/fr_article5646.html
- http://www.spip.net/fr_article5648.html
- http://zone.spip.org/trac/spip-zone/changeset/75105/_core_/securite/ecran_securite.php
- https://www.debian.org/security/2013/dsa-2794