Limitación incorrecta de una ruta a un directorio restringido en Aqua eSolutions

Fecha de publicación 17/07/2023

Importancia

5 - Crítica

Recursos Afectados

Aqua Drive, versión 2.4.

Descripción

INCIBE ha coordinado la publicación de una vulnerabilidad que afecta a Aqua Drive, la cual ha sido descubierta por Ander Martínez, de Titanium Industrial Security.

A esta vulnerabilidad se le ha asignado el siguiente código:

CVE-2023-3701:

Puntuación base CVSS v3.1: 9.9.
Cálculo del CVSS: AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
Tipo de vulnerabilidad: CWE-23: Relative Path Traversal.

Solución

Actualizar a la versión 2.5.

Detalle

CVE-2023-3701: vulnerabilidad de limitación incorrecta de una ruta a un directorio restringido (Path Traversal) en Aqua Drive, cuya explotación podría permitir a un atacante autenticado sin privilegios acceder o modificar los recursos almacenados de otros usuarios y los archivos fuente y de configuración de la plataforma de disco en la nube, afectando la integridad y disponibilidad de toda la plataforma.

Listado de referencias

Aqua Drive su disco duro virtual en la nube

Etiquetas