CVE-2013-10040

ClipBucket <= 2.6 ofc_upload_image.php Arbitrary File Upload RCE

CVSS 10 CRITICALEPSS 2.5%CWE-434

Vexday Risk Score

63Prioridade alta

Decisão SSVC (CISA)

Attend

PoC disponível → acompanhar de perto

CVSS 10EPSS 2.5%KEV nãoPoC públicaNuclei —Metasploit simPatch —

Ciclo de vida

04 out 2013Exploit Metasploit disponível

31 jul 2025Publicada no NVD

Recomendação: Planejar correção próxima — já existe PoC pública.

ClipBucket version 2.6 and earlier contains a critical vulnerability in the ofc_upload_image.php script located at /admin_area/charts/ofc-library/. This endpoint allows unauthenticated users to upload arbitrary files, including executable PHP scripts. Once uploaded, the attacker can access the file via a predictable path and trigger remote code execution.

CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H

Produtos afetados

ClipBucket LLC · ClipBucket

PoCs públicas encontradas — 2

cve_referencepacketstorm.news/files/id/123480não verificado cve_referenceraw.githubusercontent.com/rapid7/metasploit-framework/master/modules/exploits/unix/webapp/clipbucket_upload_exec.rbnão verificado

⚠ Recursos públicos, para você avaliar a exposição de sistemas que controla ou está autorizado a testar. Teste apenas com autorização.

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →

Referências

https://clipbucket.com/https://github.com/arslancb/clipbucket https://packetstorm.news/files/id/123480 https://raw.githubusercontent.com/rapid7/metasploit-framework/master/modules/exploits/unix/webapp/clipbucket_upload_exec.rb https://www.vulncheck.com/advisories/clipbucket-arbitrary-file-upload-rce