Vulnerabilidad en los archivos ThemeFilesController.php y UploaderFilesController.php en el inicio de sesión en baserCMS (CVE-2020-15159)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-79
Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
28/08/2020
Última modificación:
17/06/2026
Descripción
baserCMS versiones 4.3.6 y anteriores, esta afectado por una vulnerabilidad de tipo Cross Site Scripting (XSS) y Remote Code Execution (RCE). Esta puede ser ejecutada al iniciar sesión como administrador del sistema y cargando un archivo de script ejecutable tal y como un archivo PHP. Los componentes afectados son los archivos ThemeFilesController.php y UploaderFilesController.php. Esto es corregido en la versión 4.3.7
Impacto
Puntuación base 3.x
7.60
Gravedad 3.x
ALTA
Puntuación base 2.0
4.60
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:basercms:basercms:*:*:*:*:*:*:*:* | 4.3.6 (incluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://basercms.net/security/20200827
- https://github.com/baserproject/basercms/commit/16a7b3cd09a0ca355474119c76897eac2034a66d
- https://github.com/baserproject/basercms/security/advisories/GHSA-673x-f5wx-fxpw
- https://basercms.net/security/20200827
- https://github.com/baserproject/basercms/commit/16a7b3cd09a0ca355474119c76897eac2034a66d
- https://github.com/baserproject/basercms/security/advisories/GHSA-673x-f5wx-fxpw



