CVE-2021-31933

High

A remote code execution vulnerability exists in Chamilo through 1.11.14 due to improper input sanitization of a parameter used for file…

mitre·CWE-706·Published 2021-04-30

CVSS

7.2

EPSS

0.14

KEV

Exploits

cve.orgen

432 chars

A remote code execution vulnerability exists in Chamilo through 1.11.14 due to improper input sanitization of a parameter used for file uploads, and improper file-extension filtering for certain filenames (e.g., .phar or .pht). A remote authenticated administrator is able to upload a file containing arbitrary PHP code into specific directories via main/inc/lib/fileUpload.lib.php directory traversal to achieve PHP code execution.

NVDen

432 chars

NVDes

567 chars

Se presenta una vulnerabilidad de ejecución de código remota en Chamilo versiones hasta 1.11.14, debido a un saneamiento de la entrada inapropiado de un parámetro utilizado para la carga de archivos y al filtrado inapropiado de extensiones de archivo para determinados nombres de archivo (por ejemplo, .phar o .pht). Un administrador autenticado remoto puede cargar un archivo que contiene código PHP arbitrario en directorios específicos por medio del salto del directorio en el archivo main/inc/lib/fileUpload.lib.php para alcanzar una ejecución de código PHP.

CVSS metrics across sources

Version	Type	Source	Base	Exp	Impact	Vector
2.0	Primary	NVD	6.5	8.0	6.4	AV:N/AC:L/Au:S/C:P/I:P/A:P
3.1	Primary	cve.org	7.2	—	—	CVSS:3.1/AC:L/AV:N/A:H/C:H/I:H/PR:H/S:U/UI:N
3.1	Primary	cve.org	7.2	—	—	CVSS:3.1/AC:L/AV:N/A:H/C:H/I:H/PR:H/S:U/UI:N
3.1	Primary	NVD	7.2	1.2	5.9	CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H
3.1	Secondary	NVD	7.2	1.2	5.9	CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H