Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en LuckyFrameWeb v3.5.2 (CVE-2024-35081)

Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-22 Limitación incorrecta de nombre de ruta a un directorio restringido (Path Traversal)
Fecha de publicación:
23/05/2024
Última modificación:
18/06/2025

Descripción

Se descubrió que LuckyFrameWeb v3.5.2 contenía una vulnerabilidad de eliminación de archivos arbitraria a través del parámetro fileName en el método fileDownload.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:luckyframe:luckyframeweb:3.5.2:*:*:*:*:luckyframe:*:*