Vulnerabilidad en rsync (CVE-2024-12086)
Gravedad CVSS v3.1:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
14/01/2025
Última modificación:
20/06/2025
Descripción
Se encontró un fallo en rsync que podría permitir que un servidor enumere el contenido de un archivo arbitrario de la máquina del cliente. Este problema ocurre cuando se copian archivos de un cliente a un servidor. Durante este proceso, el servidor rsync enviará sumas de comprobación de datos locales al cliente para que las compare y determine qué datos deben enviarse al servidor. Al enviar valores de suma de comprobación especialmente creados para archivos arbitrarios, un atacante puede reconstruir los datos de esos archivos byte por byte en función de las respuestas del cliente.
Impacto
Puntuación base 3.x
6.10
Gravedad 3.x
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:samba:rsync:*:*:*:*:*:*:*:* | 3.3.0 (incluyendo) | |
| cpe:2.3:a:redhat:openshift_container_platform:4.0:*:*:*:*:*:*:* | ||
| cpe:2.3:o:redhat:enterprise_linux:6.0:*:*:*:*:*:*:* | ||
| cpe:2.3:o:redhat:enterprise_linux:7.0:*:*:*:*:*:*:* | ||
| cpe:2.3:o:redhat:enterprise_linux:8.0:*:*:*:*:*:*:* | ||
| cpe:2.3:o:redhat:enterprise_linux:9.0:*:*:*:*:*:*:* | ||
| cpe:2.3:o:redhat:enterprise_linux:10.0:*:*:*:*:*:*:* | ||
| cpe:2.3:o:almalinux:almalinux:8.0:-:*:*:*:*:*:* | ||
| cpe:2.3:o:almalinux:almalinux:9.0:-:*:*:*:*:*:* | ||
| cpe:2.3:o:almalinux:almalinux:10.0:-:*:*:*:*:*:* | ||
| cpe:2.3:o:archlinux:arch_linux:-:*:*:*:*:*:*:* | ||
| cpe:2.3:o:gentoo:linux:-:*:*:*:*:*:*:* | ||
| cpe:2.3:o:nixos:nixos:*:*:*:*:*:*:*:* | 24.11 (excluyendo) | |
| cpe:2.3:o:suse:suse_linux:-:*:*:*:*:*:*:* | ||
| cpe:2.3:o:tritondatacenter:smartos:*:*:*:*:*:*:*:* | 20250123 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página