Vulnerabilidad en las secuencias de comandos (1) mkxmltype y (2) mkdtskel en XML-DT (CVE-2014-5260)
Gravedad CVSS v2.0:
MEDIA
Tipo:
CWE-59
Incorrecta resolución de una ruta antes de aceder a un fichero (Seguimiento de enlaces)
Fecha de publicación:
16/08/2014
Última modificación:
12/04/2025
Descripción
Las secuencias de comandos (1) mkxmltype y (2) mkdtskel en XML-DT anterior a 0.64 permiten a usuarios locales sobrescribir ficheros arbitrarios a través de un ataque de enlace simbólico sobre un fichero temporal /tmp/_xml_#####.
Impacto
Puntuación base 2.0
6.30
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:xml-dt_project:xml-dt:*:*:*:*:*:*:*:* | 0.63 (incluyendo) | |
| cpe:2.3:a:xml-dt_project:xml-dt:0.60:*:*:*:*:*:*:* | ||
| cpe:2.3:a:xml-dt_project:xml-dt:0.61:*:*:*:*:*:*:* | ||
| cpe:2.3:a:xml-dt_project:xml-dt:0.62:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://openwall.com/lists/oss-security/2014/08/15/8
- https://bugs.debian.org/756566
- https://metacpan.org/diff/file?target=AMBS/XML-DT-0.64/&source=AMBS/XML-DT-0.63/
- https://metacpan.org/source/AMBS/XML-DT-0.66/Changes
- http://openwall.com/lists/oss-security/2014/08/15/8
- https://bugs.debian.org/756566
- https://metacpan.org/diff/file?target=AMBS/XML-DT-0.64/&source=AMBS/XML-DT-0.63/
- https://metacpan.org/source/AMBS/XML-DT-0.66/Changes