Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en el archivo components/filemanager/class.filemanager.php en la variable de $path en Codiad (CVE-2020-14042)

Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-79 Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
25/08/2020
Última modificación:
03/02/2023

Descripción

** PRODUCTO NO COMPATIBLE CUANDO SE ASIGNÓ** Se encontró una vulnerabilidad de tipo Cross Site Scripting (XSS) en Codiad versiones v1.7.8 y posteriores. La vulnerabilidad ocurre debido a un saneamiento inapropiado de la variable $path del nombre de la carpeta en el archivo components/filemanager/class.filemanager.php. NOTA: el proveedor afirma que "Codiad ya no se encuentra bajo mantenimiento activo por parte de los contribuyentes principales"

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:codiad:codiad:*:*:*:*:*:*:*:* 1.7.8 (incluyendo)