Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en BlackCat CMS (CVE-2017-14399)

Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-434 Subida sin restricciones de ficheros de tipos peligrosos
Fecha de publicación:
12/09/2017
Última modificación:
20/04/2025

Descripción

En BlackCat CMS 1.2.2 es posible la subida de archivos sin restricción en backend\media\ajax_rename.php mediante el parámetro extension, tal y como demuestra el cambio de extensión de .jpg a .php.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:blackcat-cms:blackcat_cms:1.2.2:*:*:*:*:*:*:*