Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en Microsoft Windows (CVE-2024-3566)

Gravedad CVSS v3.1:
CRÍTICA
Tipo:
CWE-77 Neutralización incorrecta de elementos especiales usados en un comando (Inyección de comando)
Fecha de publicación:
10/04/2024
Última modificación:
25/06/2025

Descripción

Una vulnerabilidad de inyección de comandos permite a un atacante realizar inyección de comandos en aplicaciones de Windows que dependen indirectamente de la función CreateProcess cuando se cumplen las condiciones específicas.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:golang:go:*:*:*:*:*:*:*:*
cpe:2.3:a:haskell:process_library:1.6.19.0:*:*:*:*:*:*:*
cpe:2.3:a:nodejs:node.js:*:*:*:*:-:*:*:* 21.7.2 (incluyendo)
cpe:2.3:a:php:php:*:*:*:*:*:*:*:*
cpe:2.3:a:rust-lang:rust:1.77.2:*:*:*:*:*:*:*
cpe:2.3:a:yt-dlp_project:yt-dlp:*:*:*:*:*:*:*:*
cpe:2.3:o:microsoft:windows:-:*:*:*:*:*:*:*