Skip to content
Teknomers Noticias

Teknomers Noticias

Deporte-Comida-Finanzas-Revista-Cultura-Entretenimiento-Tecnologia

Primary Menu
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Light/Dark Button
  • Home
  • Tecnología
  • Los defectos de Voyager PHP sin parpadear dejan los servidores abiertos a exploits RCE de un solo clic
  • Tecnología

Los defectos de Voyager PHP sin parpadear dejan los servidores abiertos a exploits RCE de un solo clic

teknomers 30 de Ocak de 2025 (Last updated: 30 de Ocak de 2025) 2 minutes read
Los defectos de Voyager PHP sin parpadear dejan los servidores


30 de enero de 2025Ravie LakshmananSeguridad web / vulnerabilidad

Se han revelado tres fallas de seguridad en el paquete PHP de código abierto Viajero Eso podría ser explotado por un atacante para lograr una ejecución de código remoto con un solo clic en las instancias afectadas.

“Cuando un usuario de Voyager autenticado hace clic en un enlace malicioso, los atacantes pueden ejecutar código arbitrario en el servidor”, el investigador de sonar Yaniv Nizry dicho En un artículo publicado a principios de esta semana.

Ciberseguridad

Los problemas identificados, que permanecen sin parches hasta la fecha a pesar de la divulgación responsable el 11 de septiembre de 2024, se enumeran a continuación –

  • CVE-2024-55417: una vulnerabilidad de escritura de archivo arbitraria en el punto final “/admin/medios/cargue”
  • CVE-2024-55416-Una vulnerabilidad reflejada de secuencias de comandos de sitios cruzados (XSS) en el punto final “/Admin/Compass”
  • CVE-2024-55415: una fuga arbitraria y vulnerabilidad a la eliminación

Un atacante malicioso podría aprovechar la función de carga de medios de Voyager para cargar un archivo malicioso de una manera que evita la verificación de tipo MIME y utilizar un archivo políglot que aparece como una imagen o video pero contiene un código PHP ejecutable para engañar al servidor para que lo procese como un script PHP, lo que resulta en la ejecución de código remoto.

https://www.youtube.com/watch?v=qlcrpcxecec

La vulnerabilidad también podría estar encadenada con CVE-2024-55416, elevándola a una amenaza crítica que conduce a la ejecución del código cuando una víctima hace clic en un enlace malicioso.

Ciberseguridad

“Esto significa que si un usuario autenticado hace clic en un enlace especialmente elaborado, se puede ejecutar el código de JavaScript arbitrario”, explicó Nizry. “Como resultado, un atacante puede realizar cualquier acción posterior en el contexto de la víctima”.

CVE-2024-55415, por otro lado, se refiere a una falla en el sistema de administración de archivos que permite a los actores de amenaza borrar archivos arbitrarios del sistema, o explotarlo junto con la vulnerabilidad XSS para extraer el contenido de los archivos.

En ausencia de una solución, se aconseja a los usuarios que tengan precaución al usar el proyecto en sus aplicaciones.

¿Encontró este artículo interesante? Séguenos Gorjeo  y LinkedIn Para leer más contenido exclusivo que publicamos.





ttn-es-57

About the Author

teknomers

Administrator

Visit Website View All Posts

Post navigation

Previous: Fuerte aumento de la anorexia en chicas jóvenes
Next: Vappu Pimi publicó fotos de las descripciones de la serie de la novia Maajussille: estas son las escenas de estas escenas

Related Stories

Visaje agrietado, pepinillo, faro: se revelan los diseños de los
  • Tecnología

Visaje agrietado, pepinillo, faro: se revelan los diseños de los 9 futuros emojis

teknomers 16 de Temmuz de 2026
RMC BFM ha perdido casi un 40 % de su
  • Tecnología

RMC BFM ha perdido casi un 40 % de su valor en 18 meses desde su adquisición por CMA CGM

teknomers 16 de Temmuz de 2026
Mejora tu mensajería Signal para el verano: descubre las novedades
  • Tecnología

Mejora tu mensajería Signal para el verano: descubre las novedades

teknomers 16 de Temmuz de 2026

You May Have Missed

  • General

La Casa de la Moneda de EE. UU. produce una moneda de $1 con la imagen de Trump para ayudar a celebrar el 250 cumpleaños de América.

teknomers 16 de Temmuz de 2026
«Él era mi mayor fan»: el consultor de la BBC
  • Deporte

«Él era mi mayor fan»: el consultor de la BBC Micah Richards aprende del fallecimiento de su padre antes de la semifinal, pero mantiene su puesto.

teknomers 16 de Temmuz de 2026
Visaje agrietado, pepinillo, faro: se revelan los diseños de los
  • Tecnología

Visaje agrietado, pepinillo, faro: se revelan los diseños de los 9 futuros emojis

teknomers 16 de Temmuz de 2026
Gérald Darmanin presenta el balance de la revisión de las
  • Entretenimiento

Gérald Darmanin presenta el balance de la revisión de las 70,000 denuncias por pedocriminalidad

teknomers 16 de Temmuz de 2026
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Copyright © 2026 All rights reserved. | ReviewNews by AF themes.