Vulnerabilidad en HybridAuth (CVE-2014-125116)
Gravedad CVSS v4.0:
CRÍTICA
Tipo:
CWE-306
Ausencia de autenticación para una función crítica
Fecha de publicación:
25/07/2025
Última modificación:
29/07/2025
Descripción
Existe una vulnerabilidad de ejecución remota de código en las versiones 2.0.9 a 2.2.2 de HybridAuth debido al uso inseguro del script de instalación install.php. El script permanece accesible después de la implementación y no depura la entrada antes de escribir en el archivo config.php de la aplicación. Un atacante no autenticado puede inyectar código PHP arbitrario en config.php, que se ejecuta posteriormente al cargar el archivo. Esto permite a los atacantes ejecutar código remoto en el servidor. Aprovechar este problema sobrescribirá la configuración existente, dejando la aplicación inoperativa.
Impacto
Puntuación base 4.0
9.30
Gravedad 4.0
CRÍTICA
Referencias a soluciones, herramientas e información
- https://hybridauth.github.io/
- https://raw.githubusercontent.com/rapid7/metasploit-framework/master/modules/exploits/unix/webapp/hybridauth_install_php_exec.rb
- https://vulners.com/metasploit/MSF:EXPLOIT-UNIX-WEBAPP-HYBRIDAUTH_INSTALL_PHP_EXEC-
- https://www.exploit-db.com/exploits/34273
- https://www.exploit-db.com/exploits/34390
- https://www.vulncheck.com/advisories/hybridauth-unauth-rce-via-config-injection
- https://raw.githubusercontent.com/rapid7/metasploit-framework/master/modules/exploits/unix/webapp/hybridauth_install_php_exec.rb
- https://vulners.com/metasploit/MSF:EXPLOIT-UNIX-WEBAPP-HYBRIDAUTH_INSTALL_PHP_EXEC-
- https://www.exploit-db.com/exploits/34273