Vulnerabilidad en FS_CheckFilenameIsNotExecutable de qcommonfiles.c en el motor de ioQuake3 (CVE-2011-2764)
Gravedad CVSS v2.0:
ALTA
Tipo:
CWE-20
Validación incorrecta de entrada
Fecha de publicación:
04/08/2011
Última modificación:
11/04/2025
Descripción
La función FS_CheckFilenameIsNotExecutable de qcommon/files.c en el motor de ioQuake3 1.36 y versiones anteriores, tal como se usa en "World of Padman", "Smokin' Guns", OpenArena, Tremulous y ioUrbanTerror, no detecta extensiones de archivo peligrosas, lo que permite a atacantes remotos ejecutar código arbitrario a través de un complemento de terceras partes modificado que crea un archivo DLL troyanizado.
Impacto
Puntuación base 2.0
10.00
Gravedad 2.0
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:ioquake3:ioquake3_engine:*:*:*:*:*:*:*:* | 1.36 (incluyendo) | |
| cpe:2.3:a:ioquake3:ioquake3_engine:1.36:rc1:*:*:*:*:*:* | ||
| cpe:2.3:a:openarena:openarena:*:*:*:*:*:*:*:* | ||
| cpe:2.3:a:smokin-guns:smokin\'_guns:*:*:*:*:*:*:*:* | ||
| cpe:2.3:a:tremulous:tremulous:*:*:*:*:*:*:*:* | ||
| cpe:2.3:a:urbanterror:iourbanterror:*:*:*:*:*:*:*:* | ||
| cpe:2.3:a:worldofpadman:world_of_padman:*:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://archives.neohapsis.com/archives/fulldisclosure/2011-07/0338.html
- http://lists.fedoraproject.org/pipermail/package-announce/2011-August/063460.html
- http://secunia.com/advisories/45539
- http://secunia.com/advisories/45540
- http://securityreason.com/securityalert/8324
- http://svn.icculus.org/quake3?view=rev&revision=2098
- http://thilo.tjps.eu/download/patches/ioq3-svn-r2098.diff
- http://www.securityfocus.com/archive/1/519051/100/0/threaded
- http://www.securityfocus.com/bid/48915
- https://bugzilla.redhat.com/show_bug.cgi?id=725951
- https://exchange.xforce.ibmcloud.com/vulnerabilities/68870
- https://security.gentoo.org/glsa/201706-23
- http://archives.neohapsis.com/archives/fulldisclosure/2011-07/0338.html
- http://lists.fedoraproject.org/pipermail/package-announce/2011-August/063460.html
- http://secunia.com/advisories/45539
- http://secunia.com/advisories/45540
- http://securityreason.com/securityalert/8324
- http://svn.icculus.org/quake3?view=rev&revision=2098
- http://thilo.tjps.eu/download/patches/ioq3-svn-r2098.diff
- http://www.securityfocus.com/archive/1/519051/100/0/threaded
- http://www.securityfocus.com/bid/48915
- https://bugzilla.redhat.com/show_bug.cgi?id=725951
- https://exchange.xforce.ibmcloud.com/vulnerabilities/68870
- https://security.gentoo.org/glsa/201706-23