Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidad path traversal en EasyPHP

Fecha de publicación 14/11/2024
Identificador
INCIBE-2024-0560
Importancia
3 - Media
Recursos Afectados

Servidor web EasyPHP, versión 14.1.

Descripción

INCIBE ha coordinado la publicación de 1 vulnerabilidad de severidad media que afecta al servidor web EasyPHP en su versión 14.1, un entorno de desarrollo PHP, la cual ha sido descubierta por Rafael Pedrero.

A esta vulnerabilidad se le ha asignado el siguiente código, puntuación base CVSS v3.1, vector del CVSS y el tipo de vulnerabilidad CWE:

  • CVE-2024-11215: 6.5 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N | CWE-22.
Solución

No hay solución reportada por el momento.

Detalle

CVE-2024-11215: vulnerabilidad de path traversal (limitación incorrecta de una ruta a un directorio restringido) absoluto en el servidor web EasyPHP, que afecta a la versión 14.1. Esta vulnerabilidad podría permitir a usuarios remotos omitir las restricciones de SecurityManager y recuperar cualquier archivo almacenado en el servidor estableciendo únicamente cadenas consecutivas '/..%5c'.

Listado de referencias
Página web de EasyPHP
Etiquetas