Vulnerabilidad en mktexlsr, como empaquetado en texlive (CVE-2015-5700)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-59
Incorrecta resolución de una ruta antes de aceder a un fichero (Seguimiento de enlaces)
Fecha de publicación:
25/08/2017
Última modificación:
20/04/2025
Descripción
mktexlsr revisión 22855 hasta la revisión 36625, como empaquetado en texlive, permite a los usuarios locales escribir en archivos arbitrarios por medio de un ataque de tipo symlink.
Impacto
Puntuación base 3.x
6.10
Gravedad 3.x
MEDIA
Puntuación base 2.0
5.60
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:tug:texlive:20100722:*:*:*:*:*:*:* | ||
| cpe:2.3:a:tug:texlive:20110705:*:*:*:*:*:*:* | ||
| cpe:2.3:a:tug:texlive:20120701:*:*:*:*:*:*:* | ||
| cpe:2.3:a:tug:texlive:20130530:*:*:*:*:*:*:* | ||
| cpe:2.3:a:tug:texlive:20140525:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://www.openwall.com/lists/oss-security/2015/07/30/6
- https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=775139
- https://bugzilla.redhat.com/show_bug.cgi?id=1181167
- https://usn.ubuntu.com/3788-1/
- https://www.tug.org/svn/texlive/trunk/Build/source/texk/kpathsea/mktexlsr?r1=19613&r2=22885
- https://www.tug.org/svn/texlive/trunk/Build/source/texk/kpathsea/mktexlsr?view=log
- http://www.openwall.com/lists/oss-security/2015/07/30/6
- https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=775139
- https://bugzilla.redhat.com/show_bug.cgi?id=1181167
- https://usn.ubuntu.com/3788-1/
- https://www.tug.org/svn/texlive/trunk/Build/source/texk/kpathsea/mktexlsr?r1=19613&r2=22885
- https://www.tug.org/svn/texlive/trunk/Build/source/texk/kpathsea/mktexlsr?view=log