CVE-2023-39112

MITJÀ: (6,5)

CVSS3: 5,7

ECShop podria permetre a un atacant remot travessar directoris al sistema. Un atacant podria enviar una sol·licitud d’URL especialment elaborada a l’script database.php que conté seqüències “dot dot” al paràmetre $s_file per eliminar fitxers arbitraris al sistema.

Sistemes Afectats

• ECShop ECShop 4.1.16

Remediació
No hi ha recursos disponibles amb data 4 d’agost del 2023.

Referències

• https://github.com/Luci4n555/vul_report/blob/master/vul_1.md
• https://www.ecshop.com/
• https://github.com/shopex/ecshop/
• http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-39112