Phpkobo Address Book Script 1.09 common.inc.php LANG_CODE recorrido de directorios

CVSS Puntuación meta temporalPrecio actual del exploit (≈)Puntuación de interés CTI
6.9$0-$5k0.00

Resumeninformación

Una vulnerabilidad fue encontrada en Phpkobo Address Book Script 1.09 y clasificada como problemática. Está afectada una función desconocida en la librería codelib/cfg/common.inc.php. El manejo del argumento LANG_CODE da lugar a recorrido de directorios. La vulnerabilidad es identificada como CVE-2010-1058. Además, hay un exploit disponible.

Detallesinformación

Una vulnerabilidad fue encontrada en Phpkobo Address Book Script 1.09 y clasificada como crítica. Una función desconocida en la biblioteca codelib/cfg/common.inc.php es afectada por esta vulnerabilidad. A través de la manipulación del parámetro LANG_CODE de un input desconocido se causa una vulnerabilidad de clase recorrido de directorios. Esto tiene repercusión sobre la confidencialidad, integridad y disponibilidad. El resumen de CVE es:

Vulnerabilidad de salto de directorio en codelib/cfg/common.inc.php en Phpkobo Address Book Script v1.09, cuando magic_quotes_gpc está deshabilitado, permite a atacantes remotos incluir y ejecutar ficheros locales de forma arbitraria a través de .. (punto punto)en el parámetro "LANG_CODE".

La vulnerabilidad fue publicada el 2010-03-16 (Website) (confirmado). El advisory puede ser descargado de exploit-db.com. La vulnerabilidad es identificada como CVE-2010-1058. El ataque se puede efectuar a través de la red. La explotación no necesita ninguna autentificación específica. Los detalles técnicos asi como un exploit público son conocidos.

Un exploit ha sido desarrollado por Pouya Daneshmand y publicado antes y no simplemente después del anuncio. El exploit puede ser descargado de exploit-db.com. Fue declarado como prueba de concepto. Por lo menos durante 1 días, esta vulnerabilidad fue clasificada como exploit día cero. Buscando inurl:codelib/cfg/common.inc.php es posible encontrar objetos vulnerables.

No hay información respecto a posibles contramedidas. Se sugiere sustituir el producto con un equivalente.

La vulnerabilidad también está documentado en las bases de datos X-Force (56910), Exploit-DB (11754), SecurityFocus (BID 38731†), OSVDB (63003†) y Secunia (SA38938†). Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Productoinformación

Proveedor

Nombre

Versión

CPE 2.3información

CPE 2.2información

CVSSv4información

VulDB Vector: 🔍
VulDB Confiabilidad: 🔍

CVSSv3información

VulDB Puntuación meta base: 7.3
VulDB Puntuación meta temporal: 6.9

VulDB Puntuación base: 7.3
VulDB Puntuación temporal: 6.9
VulDB Vector: 🔍
VulDB Confiabilidad: 🔍

CVSSv2información

AVACAuCIA
💳💳💳💳💳💳
💳💳💳💳💳💳
💳💳💳💳💳💳
VectorComplejidadAutenticaciónConfidencialidadIntegridadDisponibilidad
DesbloquearDesbloquearDesbloquearDesbloquearDesbloquearDesbloquear
DesbloquearDesbloquearDesbloquearDesbloquearDesbloquearDesbloquear
DesbloquearDesbloquearDesbloquearDesbloquearDesbloquearDesbloquear

VulDB Puntuación base: 🔍
VulDB Puntuación temporal: 🔍
VulDB Confiabilidad: 🔍

NVD Puntuación base: 🔍

Explotacióninformación

Clase: Recorrido de directorios
CWE: CWE-22
CAPEC: 🔍
ATT&CK: 🔍

Físico: No
Local: No
Remoto: Sí

Disponibilidad: 🔍
Acceso: Público
Estado: Prueba de concepto
Autor: Pouya Daneshmand
Descargar: 🔍
Google Hack: 🔍

EPSS Score: 🔍
EPSS Percentile: 🔍

Predicción de precios: 🔍
Estimación del precio actual: 🔍

0-DayDesbloquearDesbloquearDesbloquearDesbloquear
HoyDesbloquearDesbloquearDesbloquearDesbloquear

Exploit-DB: 🔍

Inteligencia de amenazasinformación

Interés: 🔍
Actores activos: 🔍
Grupos APT activos: 🔍

Contramedidasinformación

Recomendación: no contramedida conocida
Estado: 🔍

Hora de 0 días: 🔍

Línea de tiempoinformación

2010-03-15 🔍
2010-03-15 +0 días 🔍
2010-03-15 +0 días 🔍
2010-03-16 +1 días 🔍
2010-03-16 +0 días 🔍
2010-03-23 +6 días 🔍
2010-03-23 +0 días 🔍
2015-03-19 +1822 días 🔍
2026-05-03 +4062 días 🔍

Fuentesinformación

Aviso: exploit-db.com
Estado: Confirmado

CVE: CVE-2010-1058 (🔍)
GCVE (CVE): GCVE-0-2010-1058
GCVE (VulDB): GCVE-100-52299
X-Force: 56910
SecurityFocus: 38731 - Phpkobo Multiple Products 'LANG_CODE' Parameter Local File Include Vulnerability
Secunia: 38938
OSVDB: 63003 - PhpKobo Address Book codelib/cfg/common.inc.php LANG_CODE Parameter Traversal Local File Inclusion

scip Labs: https://www.scip.ch/en/?labs.20161013
Véase también: 🔍

Artículoinformación

Fecha de creación: 2015-03-19 12:22
Actualizado: 2026-05-03 01:25
Cambios: 2015-03-19 12:22 (53), 2017-08-22 11:34 (12), 2025-01-18 17:34 (16), 2026-05-03 01:25 (1)
Completo: 🔍
Cache ID: 216::103

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Discusión

Sin comentarios aún. Idiomas: es + pt + en.

Por favor, inicie sesión para comentar.

AnteriorVisión De ConjuntoPróximo

Do you need the next level of professionalism?

Upgrade your account now!