← voltar
CVE-2013-10067

Glossword 1.8.8 - 1.8.12 Arbitrary File Upload RCE

CVSS 9.4 CRITICALEPSS 1.0%CWE-434
Vexday Risk Score
43Atenção
Decisão SSVC (CISA)
Attend
PoC disponível → acompanhar de perto
CVSS 9.4EPSS 1.0%KEV nãoPoC Nuclei Metasploit simPatch
Ciclo de vida
05 fev 2013Exploit Metasploit disponível
05 ago 2025Publicada no NVD
Recomendação: Planejar correção próxima — já existe PoC pública.
Glossword versions 1.8.8 through 1.8.12 contain an authenticated arbitrary file upload vulnerability. When deployed as a standalone application, the administrative interface (gw_admin.php) allows users with administrator privileges to upload files to the gw_temp/a/ directory. Due to insufficient validation of file type and path, attackers can upload and execute PHP payloads, resulting in remote code execution.
CVSS:4.0/AV:N/AC:L/AT:N/PR:H/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →