Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Ejecución de código arbitrario en Duet Display

Fecha de publicación 21/11/2023
Identificador
INCIBE-2023-0512
Importancia
4 - Alta
Recursos Afectados

Duet Display para Windows 10+, versión 2.5.9.1.

Descripción

INCIBE ha coordinado la publicación de una vulnerabilidad que afecta a Duet Display 2.5.9.1, una aplicación de escritorio remoto y duplicidad de pantallas, y que ha sido descubierta por Alexander Huamán Jaimes.

A esta vulnerabilidad se le ha asignado el siguiente código, puntuación base CVSS v3.1, vector del CVSS y el tipo de vulnerabilidad CWE:

  • CVE-2023-6235: CVSS v3.1: 7.8 | CVSS: AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H | CWE-427.
Solución

No hay solución reportada por el momento.

Detalle
  • CVE-2023-6235: se ha encontrado una vulnerabilidad de elemento de ruta de búsqueda no controlado en el producto Duet Display, que afecta a la versión 2.5.9.1. Un atacante podría colocar un archivo libusk.dll arbitrario en el directorio C:\Users\user\AppData\Local\Microsoft\WindowsApps\, lo que podría provocar la ejecución y persistencia de código arbitrario.
Listado de referencias
Duet Display
Etiquetas