Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en opencart/opencart (CVE-2024-21519)

Gravedad CVSS v3.1:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
22/06/2024
Última modificación:
27/06/2024

Descripción

Esto afecta a las versiones del paquete opencart/opencart desde 4.0.0.0. Se identificó un problema de creación arbitraria de archivos mediante la funcionalidad de restauración de la base de datos. Al inyectar código PHP en la base de datos, un atacante con privilegios de administrador puede crear un archivo de copia de seguridad con un nombre de archivo arbitrario (incluida la extensión), dentro de /system/storage/backup. **Nota:** Es menos probable que el archivo creado esté disponible en la raíz web, ya que parte de las recomendaciones de seguridad para la aplicación sugieren mover la ruta de almacenamiento fuera de la raíz web.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:opencart:opencart:*:*:*:*:*:*:*:* 4.0.0.0 (incluyendo)