Limitación incorrecta de una ruta a un directorio restringido en ConacWin CB de Setelsa Security
Fecha de publicación
13/07/2023
Importancia
4 - Alta
Recursos Afectados
ConacWin CB, versiones 3.8.2.2 y anteriores.
Descripción
INCIBE ha coordinado la publicación de una vulnerabilidad que afecta a ConacWin CB, de Setelsa Security, una plataforma de control de acceso, la cual ha sido descubierta por Agustín Picazo (Black Giraffe).
A esta vulnerabilidad se le ha asignado el siguiente código:
CVE-2023-3512:
- Puntuación base CVSS v3.1: 7.5.
- Cálculo del CVSS: AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N.
- Tipo de vulnerabilidad: CWE-23: Relative Path Traversal.
Solución
Setelsa Security ha liberado la versión 3.8.2.3, la cual resuelve la vulnerabilidad reportada.
Detalle
CVE-2023-3512: vulnerabilidad de limitación incorrecta de una ruta a un directorio restringido (Path Traversal) en ConacWin CB de Setelsa Security, cuya explotación podría permitir a un atacante realizar una descarga arbitraria de archivos del sistema a través del parámetro "Download file".
Listado de referencias
Etiquetas