Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en Spotlight (CVE-2023-42464)

Gravedad CVSS v3.1:
CRÍTICA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
20/09/2023
Última modificación:
01/07/2024

Descripción

Se encontró una vulnerabilidad de Confusión de Tipos en las funciones Spotlight RPC en afpd en Netatalk 3.1.x anterior a 3.1.17. Al analizar paquetes RPC de Spotlight, una estructura de datos codificada es un diccionario de estilo clave-valor donde las claves son cadenas de caracteres y los valores pueden ser cualquiera de los tipos admitidos en el protocolo subyacente. Debido a la falta de verificación de tipos en las personas que llaman a la función dalloc_value_for_key(), que devuelve el objeto asociado con una clave, un actor malicioso puede controlar completamente el valor del puntero y, en teoría, lograr la Ejecución Remota de Código en el anfitrión. Este problema es similar a CVE-2023-34967.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:netatalk:netatalk:*:*:*:*:*:*:*:* 3.1 (incluyendo) 3.1.17 (excluyendo)
cpe:2.3:o:debian:debian_linux:10.0:*:*:*:*:*:*:*
cpe:2.3:o:debian:debian_linux:11.0:*:*:*:*:*:*:*