CVE-2020-15623

This vulnerability allows remote attackers to write arbitrary files on affected installations of CentOS Web Panel cwp-e17.0.9.8.923. Authentication is not required to exploit this vulnerability. The specific flaw exists within ajax_mod_security.php. When parsing the archivo parameter, the process does not properly validate a user-supplied path prior to using it in file operations. An attacker can leverage this vulnerability to execute code in the context of root. Was ZDI-CAN-9722.

This vulnerability allows remote attackers to write arbitrary files on affected installations of CentOS Web Panel cwp-e17.0.9.8.923. Authentication is not required to exploit this vulnerability. The specific flaw exists within ajax_mod_security.php. When parsing the archivo parameter, the process does not properly validate a user-supplied path prior to using it in file operations. An attacker can leverage this vulnerability to execute code in the context of root. Was ZDI-CAN-9722.

Esta vulnerabilidad permite a atacantes remotos escribir archivos arbitrarios en las instalaciones afectadas de CentOS Web Panel versión cwp-e17.0.9.8.923. No es requerida una autenticación para explotar esta vulnerabilidad. El fallo específico se presenta dentro del archivo ajax_mod_security.php. Cuando se analiza el parámetro archivo, el proceso no comprueba apropiadamente una ruta suministrada por un usuario antes de usarla en las operaciones de archivo. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto de root. Fue ZDI-CAN-9722