Plataforma
php
Componente
chevereto-free
Corregido en
3.13.5
La vulnerabilidad CVE-2020-37186 es una falla de ejecución remota de código (RCE) presente en Chevereto Core hasta la versión 3.13.4. Esta falla permite a atacantes inyectar código malicioso durante el proceso de configuración de la base de datos, comprometiendo la integridad y confidencialidad del sistema. Afecta a todas las instalaciones de Chevereto Core con versiones iguales o inferiores a 3.13.4. Se recomienda aplicar configuraciones seguras y actualizar a una versión corregida.
Un atacante puede explotar esta vulnerabilidad manipulando el parámetro del prefijo de la tabla de la base de datos para escribir un archivo shell PHP y, posteriormente, ejecutar comandos arbitrarios en el sistema. Esto podría resultar en la toma de control completa del servidor, la exfiltración de datos sensibles, la modificación de contenido web o el uso del servidor como punto de apoyo para ataques adicionales. La severidad crítica de esta vulnerabilidad se debe a la facilidad de explotación y al potencial impacto en la confidencialidad, integridad y disponibilidad del sistema. La capacidad de ejecutar comandos arbitrarios permite a un atacante realizar prácticamente cualquier acción que pueda realizar un usuario con privilegios administrativos.
La vulnerabilidad CVE-2020-37186 fue publicada el 2026-02-11. No se ha reportado su inclusión en el KEV de CISA ni la existencia de campañas de explotación activas a la fecha. Sin embargo, dada su severidad y la disponibilidad de información técnica, es probable que sea objeto de escaneo y explotación por parte de actores maliciosos. Se recomienda monitorear activamente los sistemas afectados y aplicar las mitigaciones necesarias.
Organizations and individuals using Chevereto for image sharing, particularly those running older, unpatched versions (3.13.4 and earlier), are at significant risk. Shared hosting environments that host Chevereto installations are also vulnerable, as a compromise of one instance could potentially affect other users on the same server.
• php / web:
curl -X POST -d 'table_prefix=<?php system($_GET["cmd"]); ?>' http://your-chevereto-site/install/ | grep '<?php system($_GET["cmd"]); ?>'• generic web:
curl -I http://your-chevereto-site/install/Check response headers for unusual content or redirects. • generic web:
grep -r 'system($_GET["cmd"]);' /var/www/your-chevereto-site/*Search for the malicious PHP code within the Chevereto installation directory.
disclosure
Estado del Exploit
EPSS
0.13% (33% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar Chevereto Core a una versión corregida que solucione esta vulnerabilidad. Si la actualización no es inmediatamente posible, se recomienda implementar configuraciones de seguridad más estrictas durante la instalación de la base de datos, asegurándose de que el prefijo de la tabla sea aleatorio y seguro. Además, se pueden aplicar reglas en un firewall de aplicaciones web (WAF) para bloquear solicitudes que intenten manipular el prefijo de la tabla. Monitorear los registros del servidor en busca de intentos de escritura de archivos PHP en directorios críticos también puede ayudar a detectar y prevenir ataques. Verifique que la configuración de permisos de archivos sea la más restrictiva posible.
Actualice Chevereto a una versión posterior a 3.13.4 para corregir la vulnerabilidad de ejecución remota de código. Consulte el sitio web oficial de Chevereto para obtener las últimas actualizaciones y parches de seguridad.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2020-37186 is a critical RCE vulnerability in Chevereto versions 3.13.4 and earlier, allowing attackers to execute arbitrary code during database configuration.
Yes, if you are running Chevereto version 3.13.4 or earlier, you are vulnerable to this RCE exploit. Upgrade immediately.
Upgrade Chevereto to the latest stable version available on the official Chevereto website. Consider temporary mitigation steps if immediate upgrading is not possible.
While no confirmed active campaigns are publicly known, the availability of public exploits increases the risk of exploitation.
Refer to the Chevereto website and security advisories for the latest information and updates regarding this vulnerability.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.