Vulnerabilidad en el archivo de licencia en Reprise RLM (CVE-2021-44153)

Gravedad CVSS v3.1:

ALTA

Tipo:

No Disponible / Otro tipo

Fecha de publicación:

13/12/2021

Última modificación:

30/04/2025

Descripción

Se ha detectado un problema en Reprise RLM versión 14.2. Al editar el archivo de licencia, es posible que un usuario administrador habilite una opción para ejecutar ejecutables arbitrarios, como lo demuestra una entrada de demostración ISV "C:\Windows\System32\calc.exe". Un atacante puede explotar esto para ejecutar un binario malicioso en el inicio, o cuando es activada la función Reread/Restart Servers en el servidor web. (La explotación no requiere CVE-2018-15573, porque el archivo de licencia está destinado a ser cambiado en la aplicación)

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 7.20 ALTA
Vector: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Alto
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Alto

Puntuación base 3.x

7.20

Gravedad 3.x

ALTA

Vector 2.0

AV:N/AC:L/Au:S/C:C/I:C/A:C CVSS v2.0 Severidad y Métricas:

Puntuación base: 9.00 ALTA
Vector: AV:N/AC:L/Au:S/C:C/I:C/A:C

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Autenticación (Au): Simple
Impacto a la confidencialidad (C): Completo
Impacto a la integridad (I): Completo
Impacto a la disponibilidad (A): Completo