Limitación incorrecta de una ruta a un directorio restringido en ConacWin CB de Setelsa Security

Fecha de publicación 13/07/2023

Importancia

4 - Alta

Recursos Afectados

ConacWin CB, versiones 3.8.2.2 y anteriores.

Descripción

INCIBE ha coordinado la publicación de una vulnerabilidad que afecta a ConacWin CB, de Setelsa Security, una plataforma de control de acceso, la cual ha sido descubierta por Agustín Picazo (Black Giraffe).

A esta vulnerabilidad se le ha asignado el siguiente código:

CVE-2023-3512:

Puntuación base CVSS v3.1: 7.5.
Cálculo del CVSS: AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N.
Tipo de vulnerabilidad: CWE-23: Relative Path Traversal.

Solución

Setelsa Security ha liberado la versión 3.8.2.3, la cual resuelve la vulnerabilidad reportada.

Detalle

CVE-2023-3512: vulnerabilidad de limitación incorrecta de una ruta a un directorio restringido (Path Traversal) en ConacWin CB de Setelsa Security, cuya explotación podría permitir a un atacante realizar una descarga arbitraria de archivos del sistema a través del parámetro "Download file".

Listado de referencias

Ficha de producto - ConacWin CB

Etiquetas