Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en el Servicio OBEX FTP en la pila de Microsoft Bluetooth en Windows Mobile 6 Professional, y probablemente Windows Mobile 5.0 para Pocket PC y 5.0 para Pocket PC Phone Edition (CVE-2009-0244)

Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-22 Limitación incorrecta de nombre de ruta a un directorio restringido (Path Traversal)
Fecha de publicación:
21/01/2009
Última modificación:
09/04/2025

Descripción

Vulnerabilidad de salto de directorio en el Servicio OBEX FTP en la pila de Microsoft Bluetooth en Windows Mobile 6 Professional, y probablemente Windows Mobile 5.0 para Pocket PC y 5.0 para Pocket PC Phone Edition, permite a usuarios remotamente autentificados listar directorios de su elección y crear o leer archivos de su elección mediante .. (punto punto) en un nombre de ruta. NOTA: esto se puede utilizar para ejecución de código escribiendo en una carpeta de Inicio (Startup).

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:o:microsoft:windows_mobile:5.0:*:*:*:*:*:*:*
cpe:2.3:o:microsoft:windows_mobile:5.0:*:pocket_pc:*:*:*:*:*
cpe:2.3:o:microsoft:windows_mobile:5.0:*:smartphone:*:*:*:*:*
cpe:2.3:o:microsoft:windows_mobile:6.0:*:*:*:*:*:*:*
cpe:2.3:o:microsoft:windows_mobile:6.0:*:pro:*:*:*:*:*
cpe:2.3:o:microsoft:windows_mobile:6.0:*:standard:*:*:*:*:*