Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en el archivo download/index.php en el parámetro file en BIQS IT Biqs-drive (CVE-2021-39433)

Gravedad CVSS v3.1:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
04/10/2021
Última modificación:
12/10/2021

Descripción

Se presenta una vulnerabilidad de inclusión de archivos locales (LFI) en la versión BIQS IT Biqs-drive v1.83 y por debajo, cuando se envía una carga útil específica como el parámetro file al archivo download/index.php. Esto permite al atacante leer archivos arbitrarios del servidor con los permisos del usuario web configurado

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:biqs:biqsdrive:*:*:*:*:*:*:*:* 1.83 (incluyendo)