Plataforma
php
Componente
pmb
Corregido en
5.6.1
Se ha identificado una vulnerabilidad de divulgación de archivos locales en PMB versión 5.6. Esta falla permite a un atacante con acceso local leer archivos arbitrarios del sistema operativo mediante la manipulación del parámetro 'chemin' en el archivo getgif.php. La vulnerabilidad fue publicada el 28 de enero de 2026 y afecta a las instalaciones de PMB 5.6. Se recomienda actualizar a una versión corregida o implementar medidas de mitigación.
La vulnerabilidad de divulgación de archivos en PMB 5.6 permite a un atacante leer cualquier archivo al que el proceso del servidor web tenga acceso. Esto incluye archivos de configuración sensibles, contraseñas almacenadas en texto plano y, potencialmente, archivos del sistema como /etc/passwd. Un atacante podría obtener información confidencial sobre la infraestructura del servidor y utilizarla para comprometer aún más el sistema. La explotación exitosa de esta vulnerabilidad podría resultar en la divulgación de datos confidenciales y la posible toma de control del sistema.
No se ha confirmado la explotación activa de esta vulnerabilidad. La vulnerabilidad se encuentra en el índice de vulnerabilidades de NVD desde el 28 de enero de 2026. La probabilidad de explotación se considera baja a moderada, dado que requiere acceso local al servidor y un conocimiento de la vulnerabilidad. No se han identificado campañas activas conocidas dirigidas a esta vulnerabilidad.
Organizations using PMB 5.6, particularly those hosting the application on shared hosting environments or with limited security controls, are at significant risk. Systems with misconfigured file permissions or where the web server process has elevated privileges are also more vulnerable.
• php / web:
grep -r 'chemin=' /var/www/html/getgif.php• php / web: Check web server access logs for requests to getgif.php with unusual or suspicious values in the chemin parameter.
• generic web: Use curl to test the getgif.php endpoint with various file paths to see if sensitive files can be accessed.
curl 'http://your-pmb-server/getgif.php?chemin=/etc/passwd'disclosure
Estado del Exploit
EPSS
0.01% (1% percentil)
CISA SSVC
Vector CVSS
La mitigación inmediata para esta vulnerabilidad es actualizar a una versión de PMB que haya sido parcheada para corregir la falla. Si la actualización no es posible de inmediato, se recomienda restringir el acceso al archivo getgif.php y validar estrictamente la entrada del parámetro 'chemin'. Implementar reglas de firewall para bloquear el acceso no autorizado al archivo también puede ayudar a reducir el riesgo. Además, se recomienda monitorear los logs del servidor web en busca de intentos de explotación.
Actualizar a una versión parcheada o aplicar las medidas de seguridad necesarias para evitar la divulgación de archivos locales. Validar y sanitizar correctamente la entrada del parámetro 'chemin' para evitar el acceso a archivos no autorizados.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2020-36970 is a vulnerability in PMB 5.6 that allows attackers to read arbitrary system files by manipulating the 'chemin' parameter in getgif.php.
If you are running PMB version 5.6, you are potentially affected by this vulnerability. Upgrade to a patched version as soon as possible.
The recommended fix is to upgrade to a patched version of PMB. If upgrading is not immediately possible, implement temporary workarounds like restricting access to getgif.php or validating the 'chemin' parameter.
There is currently no evidence of CVE-2020-36970 being actively exploited in the wild, but the vulnerability's simplicity suggests it could be exploited if discovered.
Refer to the PMB project's official website or security advisories for the latest information and updates regarding CVE-2020-36970.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.