Vulnerabilidad en Secret Server v11.7.31 (CVE-2024-12908)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-94
Control incorrecto de generación de código (Inyección de código)
Fecha de publicación:
26/12/2024
Última modificación:
15/10/2025
Descripción
Delinea abordó un caso informado en Secret Server v11.7.31 (versión del controlador de protocolo 6.0.3.26) donde, dentro de la función del controlador de protocolo, se compararon las URL antes de la normalización y la canonización, lo que potencialmente llevó a una coincidencia excesiva con la lista aprobada. Si este ataque se explotara con éxito, un atacante remoto podría convencer a un usuario de visitar una página web maliciosa o abrir un documento malicioso que podría activar el controlador vulnerable, lo que le permitiría ejecutar código arbitrario en la máquina del usuario. Delinea agregó una validación adicional de que el archivo por lotes del instalador descargado estaba en el formato esperado.
Impacto
Puntuación base 3.x
6.90
Gravedad 3.x
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:delinea:secret_server:*:*:*:*:on-premises:*:*:* | 11.9.000006 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://blog.amberwolf.com/blog/2024/december/cve-2024-12908-delinea-protocol-handler---remote-code-execution-via-update-process/
- https://docs.delinea.com/online-help/secret-server/release-notes/ss-rn-11-7-000049.htm
- https://trust.delinea.com/
- https://blog.amberwolf.com/blog/2024/december/cve-2024-12908-delinea-protocol-handler---remote-code-execution-via-update-process/