CVE-2013-10037
WebTester 5.x install2.php Unauthenticated Command Execution
Vexday Risk Score
63Prioridade alta
Decisão SSVC (CISA)
Attend
PoC disponível → acompanhar de perto
CVSS 9.3EPSS 9.9%KEV nãoPoC públicaNuclei —Metasploit simPatch —
Ciclo de vida
17 out 2013Exploit Metasploit disponível
31 jul 2025Publicada no NVD
Recomendação: Planejar correção próxima — já existe PoC pública.
An OS command injection vulnerability exists in WebTester version 5.x via the install2.php installation script. The parameters cpusername, cppassword, and cpdomain are passed directly to shell commands without sanitization. A remote unauthenticated attacker can exploit this flaw by sending a crafted HTTP POST request, resulting in arbitrary command execution on the underlying system with web server privileges.
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N
Produtos afetados
Eppler Software · WebTesterPoCs públicas encontradas — 2
cve_referenceraw.githubusercontent.com/rapid7/metasploit-framework/master/modules/exploits/unix/webapp/webtester_exec.rbnão verificadocve_referencewww.exploit-db.com/exploits/29132não verificado⚠ Recursos públicos, para você avaliar a exposição de sistemas que controla ou está autorizado a testar. Teste apenas com autorização.
Quer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →Referências
https://advisories.checkpoint.com/defense/advisories/public/2014/cpai-2014-1620.htmlhttps://raw.githubusercontent.com/rapid7/metasploit-framework/master/modules/exploits/unix/webapp/webtester_exec.rbhttps://sourceforge.net/p/webtesteronline/bugs/3/https://www.exploit-db.com/exploits/29132https://www.vulncheck.com/advisories/webtester-unauth-command-execution