Vulnerabilidad path traversal en Quick.CMS
- Quick.CMS, versión 6.7.
INCIBE ha coordinado la publicación de 1 vulnerabilidad de severidad crítica que afecta a Quick.CMS versión 6.7, un sistema de gestión de contenidos, la cual ha sido descubierta por Rafael Pedrero.
A esta vulnerabilidad se le ha asignado el siguiente código, puntuación base CVSS v3.1, vector del CVSS y el tipo de vulnerabilidad CWE:
- CVE-2024-11992: CVSS v3.1: 9.1 | CVSS AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N | CWE-22.
No hay solución reportada por el momento.
CVE-2024-11992: vulnerabilidad de path traversal (limitación incorrecta de una ruta a un directorio restringido) absoluto en Quick.CMS, versión 6.7, cuya explotación podría permitir a usuarios remotos evitar las restricciones previstas y descargar cualquier archivo si tiene los permisos adecuados fuera de documentroot configurado en el servidor a través del parámetro aDirFiles%5B0%5D en la página admin.php. Esta vulnerabilidad permite a un atacante eliminar archivos almacenados en el servidor debido a una falta de verificación adecuada de la entrada proporcionada por el usuario.
