Vulnerability in Quick.CMS Posted date 29/11/2024 Identificador INCIBE-2024-0588 Importance 5 - Critical Affected Resources Quick.CMS, 6.7 version. Description INCIBE has coordinated the publication of 1 vulnerability of critical severity affecting Quick.CMS version 6.7, a content management system, which has been discovered by Rafael Pedrero.
This vulnerability has been assigned the following code, CVSS v3.1 base score, CVSS vector and vulnerability type CWE:
CVE-2024-11992: CVSS v3.1: 9.1 | CVSS AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N | CWE-22. Solution No solution reported at this time.
Detail CVE-2024-11992: absolute path traversal vulnerability in Quick.CMS, version 6.7, the exploitation of which could allow remote users to bypass the intended restrictions and download any file if it has the appropriate permissions outside of documentroot configured on the server via the aDirFiles%5B0%5D parameter in the admin.php page. This vulnerability allows an attacker to delete files stored on the server due to a lack of proper verification of user-supplied input. https://www.incibe.es/en/incibe-cert/notices/aviso/path-traversal-vulnerability-quickcms
Seba85, dzięki za info. Tego typu podatności bazują najczęściej na domyślnym adresie logowania admin.php, który zawsze powinien być zmieniony przed wgraniem projektu na serwer. O konieczności zmiany domyślnego adresu logowania wspomina instrukcja https://opensolution.org/docs/?v=6.7&p=pl-information#security
Dodam że w płatnej wersji Quick.CMS.EXT v6.7 w administracji jest podstrona "Poprawki błędów" z wykazem i opisem instalacji zalecanych poprawek.
Już jest fix do tego - zabezpieczenie przed trawersowaniem katalogów: http://opensolution.org/bugfixes.html?sBug=YTozOntpOjA7czozOiI2LjciO2k6MTtpOjU7aToyO3M6MjoicGwiO30= Data publikacji: 2024-12-09
Choć tak szczerze mówiąc, to ryzyko wykorzystania tego błędu jest na tyle małe (podatność wymaga aby atakujący był zalogowany do panelu administracyjnego (SIC!)), że naszym skromnym zdaniem to jak zwykle przeciąganie liny między developerami, a ludźmi od bezpieczeństwa. Niemniej jednak poprawkę warto wprowadzić, dlatego publikujemy.
