Vulnerabilidad en el archivo Horde/Form/Type.php en Horde Groupware Webmail (CVE-2019-9858)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-22
Limitación incorrecta de nombre de ruta a un directorio restringido (Path Traversal)
Fecha de publicación:
29/05/2019
Última modificación:
18/04/2022
Descripción
Fue encontrada una ejecución remota de código en Horde Groupware Webmail versión 5.2.22 y versión 5.2.17. El archivo Horde/Form/Type.php contiene una clase vulnerable que maneja la carga de imágenes en formularios. Cuando se llama al método Horde_Form_Type_image en la función onSubmit () en las cargas, hace un llamado a las funciones getImage() y _getUpload(), que utiliza una entrada de usuario no autorizada como un path para guardar la imagen. La falta de saneamiento del parámetro POST object[photo][img][file] se guarda en la variable PHP $upload[img][file], lo que permite a un atacante manipular el archivo $tmp_file pasado a move_uploaded_file() para guardar el archivo cargado. Al establecer el parámetro en (por ejemplo) ../usr/share/horde/static/bd.php, se puede escribir un backdoor PHP dentro de la web root. La carpeta de destino static/ es un buen candidato para abandonar la backdoor y siempre se puede escribir en las instalaciones Horde. (El parámetro POST no saneado probablemente pasó desapercibido porque nunca fue enviado a los formularios, que de forma predeterminada utilizan una path aleatoria).
Impacto
Puntuación base 3.x
8.80
Gravedad 3.x
ALTA
Puntuación base 2.0
6.50
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:horde:groupware:5.2.17:*:*:*:webmail:*:*:* | ||
| cpe:2.3:a:horde:groupware:5.2.22:*:*:*:webmail:*:*:* | ||
| cpe:2.3:o:debian:debian_linux:8.0:*:*:*:*:*:*:* | ||
| cpe:2.3:o:debian:debian_linux:9.0:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página