Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Limitación incorrecta de una ruta a un directorio restringido en ConacWin CB de Setelsa Security

Fecha de publicación 13/07/2023
Identificador

INCIBE-2023-0271

Importancia
4 - Alta
Recursos Afectados

ConacWin CB, versiones 3.8.2.2 y anteriores.

Descripción

INCIBE ha coordinado la publicación de una vulnerabilidad que afecta a ConacWin CB, de Setelsa Security, una plataforma de control de acceso, la cual ha sido descubierta por Agustín Picazo (Black Giraffe).

A esta vulnerabilidad se le ha asignado el siguiente código:

CVE-2023-3512:

  • Puntuación base CVSS v3.1: 7.5.
  • Cálculo del CVSS: AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N.
  • Tipo de vulnerabilidad: CWE-23: Relative Path Traversal.
Solución

Setelsa Security ha liberado la versión 3.8.2.3, la cual resuelve la vulnerabilidad reportada.

Detalle

CVE-2023-3512: vulnerabilidad de limitación incorrecta de una ruta a un directorio restringido (Path Traversal) en ConacWin CB de Setelsa Security, cuya explotación podría permitir a un atacante realizar una descarga arbitraria de archivos del sistema a través del parámetro "Download file".

Listado de referencias
Ficha de producto - ConacWin CB
Etiquetas