Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en diffoscope (CVE-2024-25711)

Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-22 Limitación incorrecta de nombre de ruta a un directorio restringido (Path Traversal)
Fecha de publicación:
27/02/2024
Última modificación:
04/03/2025

Descripción

diffoscope anterior a 256 permite el directory traversal a través de un nombre de archivo incrustado en un archivo GPG. El contenido de cualquier archivo, como ../.ssh/id_rsa, puede revelarse a un atacante. Esto ocurre porque el valor de la opción gpg --use-embedded-filenames es confiable.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:reproducible_builds:diffoscope:*:*:*:*:*:*:*:* 256 (excluyendo)
cpe:2.3:o:fedoraproject:fedora:39:*:*:*:*:*:*:*