Vulnerabilidad en Apktool (CVE-2024-21633)

Gravedad CVSS v3.1:

ALTA

Tipo:

CWE-22 Limitación incorrecta de nombre de ruta a un directorio restringido (Path Traversal)

Fecha de publicación:

03/01/2024

Última modificación:

10/01/2024

Descripción

Apktool es una herramienta para realizar ingeniería inversa en archivos APK de Android. En las versiones 2.9.1 y anteriores, Apktool infiere la ruta de salida de los archivos de recursos de acuerdo con sus nombres de recursos, que el atacante puede manipular para colocar los archivos en la ubicación deseada en el sistema en el que se ejecuta Apktool. Los entornos afectados son aquellos en los que un atacante puede escribir/sobrescribir cualquier archivo en el que el usuario tenga acceso de escritura y en el que el nombre de usuario sea conocido o cwd esté en la carpeta del usuario. El commit d348c43b24a9de350ff6e5bd610545a10c1fc712 contiene un parche para este problema.

Impacto

Vector 3.x

CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 7.80 ALTA
Vector: CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

Vector de acceso (AV): Local
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Obligatorio
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Alto