Vulnerabilidad en cpio de Debian (CVE-2023-7207)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-22
Limitación incorrecta de nombre de ruta a un directorio restringido (Path Traversal)
Fecha de publicación:
29/02/2024
Última modificación:
26/08/2025
Descripción
El cpio de Debian contiene una vulnerabilidad de path traversal. Este problema se introdujo al revertir los parches CVE-2015-1197 que habían provocado una regresión en --no-absolute-filenames. Desde entonces, Upstream ha proporcionado una solución adecuada para --no-absolute-filenames.
Impacto
Puntuación base 3.x
4.90
Gravedad 3.x
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:gnu:cpio:2.13:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://www.openwall.com/lists/oss-security/2024/01/05/1
- https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=1059163
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-7207
- https://git.savannah.gnu.org/cgit/cpio.git/commit/?id=376d663340a9dc91c91a5849e5713f07571c1628
- https://www.openwall.com/lists/oss-security/2023/12/21/8
- http://www.openwall.com/lists/oss-security/2024/01/05/1
- https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=1059163
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-7207
- https://git.savannah.gnu.org/cgit/cpio.git/commit/?id=376d663340a9dc91c91a5849e5713f07571c1628
- https://www.openwall.com/lists/oss-security/2023/12/21/8