Vulnerabilidad en mktexlsr en texlive (CVE-2015-5701)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-59
Incorrecta resolución de una ruta antes de aceder a un fichero (Seguimiento de enlaces)
Fecha de publicación:
25/08/2017
Última modificación:
20/04/2025
Descripción
mktexlsr en la revisión 36855, y anterior a la revisión 36626 tal y como se incluye en texlive permite que usuarios locales escriban en archivos arbitrarios mediante un ataque symlink. NOTA: Esta vulnerabilidad existe debido a la reversión de una solución para CVE-2015-5700.
Impacto
Puntuación base 3.x
6.10
Gravedad 3.x
MEDIA
Puntuación base 2.0
5.60
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:tug:texlive:20100722:*:*:*:*:*:*:* | ||
| cpe:2.3:a:tug:texlive:20110705:*:*:*:*:*:*:* | ||
| cpe:2.3:a:tug:texlive:20120701:*:*:*:*:*:*:* | ||
| cpe:2.3:a:tug:texlive:20130530:*:*:*:*:*:*:* | ||
| cpe:2.3:a:tug:texlive:20140525:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://www.openwall.com/lists/oss-security/2015/07/30/6
- https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=775139
- https://bugzilla.redhat.com/show_bug.cgi?id=1181167
- https://www.tug.org/svn/texlive/trunk/Build/source/texk/kpathsea/mktexlsr?r1=19613&r2=22885
- https://www.tug.org/svn/texlive/trunk/Build/source/texk/kpathsea/mktexlsr?view=log
- http://www.openwall.com/lists/oss-security/2015/07/30/6
- https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=775139
- https://bugzilla.redhat.com/show_bug.cgi?id=1181167
- https://www.tug.org/svn/texlive/trunk/Build/source/texk/kpathsea/mktexlsr?r1=19613&r2=22885
- https://www.tug.org/svn/texlive/trunk/Build/source/texk/kpathsea/mktexlsr?view=log