CVE-2019-25592

PHPRunner 10.1 Denial of Service via Dashboard Name Field

CVSS 6.9 MEDIUMEPSS 0.2%CWE-1260

En resumen

PHPRunner 10.1 se bloquea cuando alguien ingresa un texto extremadamente largo (10.000+ caracteres) en el campo de nombre del panel durante su creación. Esto permite que un atacante local deshabilite la aplicación sin necesidad de permisos especiales.

Detalle técnico

Una vulnerabilidad de desbordamiento de búfer en PHPRunner 10.1 en la funcionalidad de creación de paneles permite que atacantes locales causen denegación de servicio al proporcionar una cadena excesivamente larga (10.000 caracteres) en el campo Nombre. La vulnerabilidad requiere acceso local y resulta en el bloqueo de la aplicación, afectando la disponibilidad.

Resumen generado y traducido por IA a partir de la descripción oficial.

PHPRunner 10.1 contains a denial of service vulnerability that allows local attackers to crash the application by supplying an excessively long string in the dashboard name field. Attackers can paste a buffer of 10000 characters into the Name field during dashboard creation to trigger an application crash.

CVSS:4.0/AV:L/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N

Productos afectados

Xlinesoft · PHPRunner

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →

Referencias

https://www.exploit-db.com/exploits/46824 https://www.vulncheck.com/advisories/phprunner-denial-of-service-via-dashboard-name-field https://xlinesoft.com/https://xlinesoft.com/phprunner/download.htm