Inicio / Alerta Temprana / Vulnerabilidades / CVE-2018-19114

Vulnerabilidad en MinDoc (CVE-2018-19114)

Tipo: 
Validación incorrecta de entrada
Gravedad: 
Media
Fecha publicación : 
08/11/2018
Última modificación: 
02/10/2019
Descripción
Se ha descubierto un problema en MinDoc hasta la versión 1.0.2. Permite a los atacantes obtener privilegios cargando un archivo de imagen con contenidos que representan una sesión de administrador, y luego enviando una cabecera Cookie: con un valor mindoc_id que contiene la ruta de acceso relativa de este archivo subido. Por ejemplo, el mindoc_id (también conocido como ID de sesión) podría ser del tipo aa/../../../uploads/blog/201811/attach_#.jpg, donde "#" es un valor hexadecimal que se muestra en el campo upload de una pantalla manage/blogs/edit/.
Impacto
Vector de acceso: A través de red
Complejidad de Acceso: Baja
Autenticación: No disponible
Tipo de impacto: Afecta parcialmente a la integridad del sistema + Afecta parcialmente a la confidencialidad del sistema + Afecta parcialmente a la disponibilidad del sistema
Productos y versiones vulnerables
  • cpe:2.3:a:iminho:mindoc:*:*:*:*:*:*:*:*
Para consultar la lista completa de productos y versiones ver esta página
Referencias a soluciones, herramientas e información
Explicación de los campos