Vulnerabilidad en AnyDesk (CVE-2024-12754)

Gravedad CVSS v3.1:

MEDIA

Tipo:

CWE-59 Incorrecta resolución de una ruta antes de aceder a un fichero (Seguimiento de enlaces)

Fecha de publicación:

30/12/2024

Última modificación:

14/08/2025

Descripción

Vulnerabilidad de divulgación de información mediante enlaces en AnyDesk. Esta vulnerabilidad permite a los atacantes locales divulgar información confidencial sobre las instalaciones afectadas de AnyDesk. Para explotar esta vulnerabilidad, un atacante primero debe obtener la capacidad de ejecutar código con poco nivel de privilegios en el sistema de destino. La falla específica existe en la gestión de imágenes de fondo. Al crear una unión, un atacante puede abusar del servicio para leer archivos arbitrarios. Un atacante puede aprovechar esta vulnerabilidad para divulgar credenciales almacenadas, lo que conduce a una mayor vulnerabilidad. Era ZDI-CAN-23940.

Impacto

Vector 3.x

CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 5.50 MEDIA
Vector: CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N

Vector de acceso (AV): Local
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Bajo
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Ninguno

Puntuación base 3.x

5.50

Gravedad 3.x

MEDIA

Productos y versiones vulnerables

CPE	Desde	Hasta
cpe:2.3:a:anydesk:anydesk:8.0.9:::::windows::

Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página

Referencias a soluciones, herramientas e información

https://www.zerodayinitiative.com/advisories/ZDI-24-1711/