Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en ISPConfig (CVE-2018-17984)

Gravedad CVSS v3.1:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
04/10/2018
Última modificación:
13/12/2018

Descripción

Una expresión regular /[a-z]{2}/ no anclada en ISPConfig en versiones anteriores a la 3.1.13 hace posible incluir archivos arbitrarios, conduciendo a una ejecución de código. Esto es explotable por usuarios autentificados que tienen acceso al sistema de archivos local.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:ispconfig:ispconfig:*:*:*:*:*:*:*:* 3.1.13 (excluyendo)