Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en el archivo webadmin/reporter/view_server_log.php en el parámetro log en una acción stats en Netsweeper (CVE-2014-9609)

Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-22 Limitación incorrecta de nombre de ruta a un directorio restringido (Path Traversal)
Fecha de publicación:
19/02/2020
Última modificación:
20/02/2020

Descripción

Una vulnerabilidad de salto de directorio en el archivo webadmin/reporter/view_server_log.php en Netsweeper versiones anteriores a 3.1.10, versiones 4.0.x anteriores a 4.0.9 y versiones 4.1.x anteriores a 4.1.2, permite a atacantes remotos listar el contenido del directorio por medio de un .. (punto punto) en el parámetro log en una acción stats.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:netsweeper:netsweeper:*:*:*:*:*:*:*:* 3.1.10 (excluyendo)
cpe:2.3:a:netsweeper:netsweeper:*:*:*:*:*:*:*:* 4.0.0 (incluyendo) 4.0.9 (excluyendo)
cpe:2.3:a:netsweeper:netsweeper:*:*:*:*:*:*:*:* 4.1.0 (incluyendo) 4.1.2 (excluyendo)