Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en En Alkacon OpenCms (CVE-2019-13237)

Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-22 Limitación incorrecta de nombre de ruta a un directorio restringido (Path Traversal)
Fecha de publicación:
27/08/2019
Última modificación:
18/04/2022

Descripción

En Alkacon OpenCms versiones 10.5.4 y 10.5.5, hay múltiples recursos vulnerables a la Inclusión de Archivos Locales que permiten a un atacante acceder a los recursos del servidor: clearhistory.jsp, convertxml.jsp, group_new.jsp, loginmessage.jsp, xmlcontentrepair.jsp, y /system/workplace/admin/history/settings/index.jsp.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:alkacon:opencms_apollo_template:10.5.4:*:*:*:*:*:*:*
cpe:2.3:a:alkacon:opencms_apollo_template:10.5.5:*:*:*:*:*:*:*