Vulnerabilidad en XCloner Standalone (CVE-2014-2579)
Gravedad CVSS v2.0:
ALTA
Tipo:
CWE-352
Falsificación de petición en sitios cruzados (Cross-Site Request Forgery)
Fecha de publicación:
25/04/2014
Última modificación:
12/04/2025
Descripción
Múltiples vulnerabilidades de CSRF en XCloner Standalone 3.5 y anteriores permiten a atacantes remotos secuestrar la autenticación de administradores para solicitudes que (1) cambian la contraseña de administrador a través de la tarea config hacia index2.php o (2) cuando las opciones enable_db_backup y sql_mem están habilitadas, acceder a la funcionalidad de copia de seguridad de la base de datos a través del parámetro dbbackup_comp en la acción generate hacia index2.php. NOTA: vector 2 podría ser un duplicado de CVE-2014-2340, lo que es para el plugin XCloner Wordpress. NOTA: atacantes remotos pueden aprovechar CVE-2014-2996 con vector 2 para ejecutar comandos arbitrarios.
Impacto
Puntuación base 2.0
7.60
Gravedad 2.0
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:xcloner:xcloner:*:*:standalone:*:*:*:*:* | 3.5 (incluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://www.exploit-db.com/exploits/32790
- http://www.securityfocus.com/archive/1/531780/100/0/threaded
- http://www.securityfocus.com/bid/66751
- https://www.htbridge.com/advisory/HTB23207
- http://www.exploit-db.com/exploits/32790
- http://www.securityfocus.com/archive/1/531780/100/0/threaded
- http://www.securityfocus.com/bid/66751
- https://www.htbridge.com/advisory/HTB23207