CVE-2018-1000504 – Redirection <= 2.7.3 - Local File Inclusion

https://notcve.org/view.php?id=CVE-2018-1000504

Redirection version 2.7.3 contains a ACE via file inclusion vulnerability in Pass-through mode that can result in allows admins to execute any PHP file in the filesystem. This attack appear to be exploitable via Attacker must be have access to an admin account on the target site. This vulnerability appears to have been fixed in 2.8. Redirection 2.7.3 contiene un ACE mediante una vulnerabilidad de inclusión de archivos en el modo Pass-through que puede resultar en que los administradores puedan ejecutar cualquier archivo PHP en el sistema de archivos. Para explotar este ataque, el atacante debe tener acceso a una cuenta de administrador en el sitio objetivo. • https://advisories.dxw.com/advisories/ace-file-inclusion-redirection • CWE-98: Improper Control of Filename for Include/Require Statement in PHP Program ('PHP Remote File Inclusion') CWE-601: URL Redirection to Untrusted Site ('Open Redirect') •