Vulnerabilidad en Bandisoft Bandizip (CVE-2025-33027)

Gravedad CVSS v3.1:

MEDIA

Tipo:

No Disponible / Otro tipo

Fecha de publicación:

15/04/2025

Última modificación:

25/04/2025

Descripción

En Bandisoft Bandizip hasta la versión 7.37, existe una vulnerabilidad de omisión de la marca de la web. Esta vulnerabilidad permite a los atacantes eludir el mecanismo de protección de la marca de la web en las instalaciones afectadas de Bandizip. Para explotar esta vulnerabilidad, se requiere la interacción del usuario, ya que el objetivo debe visitar una página maliciosa o abrir un archivo malicioso. La falla específica se encuentra en la gestión de archivos comprimidos. Al extraer archivos de un archivo comprimido manipulado con la marca de la web, Bandizip no la propaga a los archivos extraídos. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código arbitrario en el contexto del usuario actual.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 6.10 MEDIA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Obligatorio
Alcance (S): Modificado
Impacto a la confidencialidad (C): Bajo
Impacto a la integridad (I): Bajo
Impacto a la disponibilidad (A): Ninguno