Vulnerabilidad de ruta o elemento de búsqueda sin comillas en SugarSync
SugarSync, versiones inferiores a 4.1.3.
INCIBE ha coordinado la publicación de una vulnerabilidad de severidad alta que afecta a SugarSync Inc., un servicio de almacenamiento y sincronización de documentos en la nube, en versiones inferiores a la 4.1.3, la cual ha sido descubierta por Jorge Manuel Lozano Gómez.
A esta vulnerabilidad se le ha asignado el siguiente código, puntuación base CVSS v3.1, vector del CVSS y el tipo de vulnerabilidad CWE:
- CVE-2024-4461: 7.8 | CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H | CWE-428.
No hay solución reportada por el momento.
CVE-2024-4461: vulnerabilidad de ruta o elemento de búsqueda sin comillas, en versiones de SugarSync anteriores a la 4.1.3 para Windows. Esta configuración errónea podría permitir que un usuario local no autorizado inyecte código arbitrario en la ruta del servicio sin comillas, lo que provocaría una escalada de privilegios.
