CVE-2019-16662

Critical

An issue was discovered in rConfig 3.9.2. An attacker can directly execute system commands by sending a GET request to…

mitre·CWE-78·Published 2019-10-28

CVSS

9.8

EPSS

0.98

KEV

Exploits

cve.orgen

263 chars

An issue was discovered in rConfig 3.9.2. An attacker can directly execute system commands by sending a GET request to ajaxServerSettingsChk.php because the rootUname parameter is passed to the exec function without filtering, which can lead to command execution.

NVDen

263 chars

NVDes

312 chars

Se descubrió un problema en rConfig versión 3.9.2. Un atacante puede ejecutar directamente comandos del sistema mediante el envío de una petición GET en el archivo ajaxServerSettingsChk.php porque el parámetro rootUname es pasado a la función exec sin filtrado, lo que puede conllevar a una ejecución de comando.

CVSS metrics across sources

Version	Type	Source	Base	Exp	Impact	Vector
2.0	Primary	NVD	10.0	10.0	10.0	AV:N/AC:L/Au:N/C:C/I:C/A:C
3.1	Primary	NVD	9.8	3.9	5.9	CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H