Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en archivos tmp/ en StateSaver de Ubuntu UI Toolkit (CVE-2014-1420)

Gravedad CVSS v3.1:
BAJA
Tipo:
CWE-502 Deserialización de datos no confiables
Fecha de publicación:
11/09/2020
Última modificación:
16/09/2020

Descripción

En escritorio, StateSaver de Ubuntu UI Toolkit serializaría datos en archivos tmp/ que un atacante podría usar para exponer datos potencialmente confidenciales. StateSaver también abriría archivos sin el indicador O_EXCL. Un atacante podría explotar esto para iniciar un ataque de enlace simbólico, aunque esto está parcialmente mitigado por las restricciones de enlaces simbólicos y físicos en Ubuntu. Corregido en versiones 1.1.1188 +14.10.20140813.4-0ubuntu1

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:canonical:ubuntu-ui-toolkit:*:*:*:*:*:*:*:* 1.1.1188\+14.10.20140813.4-0ubuntu1 (excluyendo)