Vulnerabilidad en PaperCut NG/MF (CVE-2024-8404)

Gravedad CVSS v3.1:

ALTA

Tipo:

CWE-59 Incorrecta resolución de una ruta antes de aceder a un fichero (Seguimiento de enlaces)

Fecha de publicación:

26/09/2024

Última modificación:

13/05/2025

Descripción

Existe una vulnerabilidad de eliminación arbitraria de archivos en PaperCut NG/MF, que afecta específicamente a servidores Windows con Web Print habilitado. Para explotar esta vulnerabilidad, un atacante primero debe obtener acceso de inicio de sesión local al servidor Windows que aloja PaperCut NG/MF y ser capaz de ejecutar código con privilegios bajos directamente en el servidor a través de la carpeta activa de impresión web. Importante: En la mayoría de las instalaciones, este riesgo se mitiga con la configuración predeterminada de Windows Server, que restringe el acceso de inicio de sesión local solo a los administradores. Sin embargo, esta vulnerabilidad podría representar un riesgo para los clientes que permiten que usuarios no administrativos inicien sesión en la consola local del entorno Windows que aloja el servidor de aplicaciones PaperCut NG/MF. Nota: Esta CVE se ha separado de CVE-2024-3037.

Impacto

Vector 3.x

CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 7.80 ALTA
Vector: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

Vector de acceso (AV): Local
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Bajo
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Alto