Vulnerabilidad en Bitdefender SafePay (CVE-2019-6736)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-78
Neutralización incorrecta de elementos especiales usados en un comando de sistema operativo (Inyección de comando de sistema operativo)
Fecha de publicación:
03/06/2019
Última modificación:
06/10/2020
Descripción
Esta vulnerabilidad permite a los atacantes remotos ejecutar código arbitrario en instalaciones vulnerables de Bitdefender SafePay versión 23.0.10.34. La interacción del usuario es necesaria para aprovechar esta vulnerabilidad, ya que el objetivo debe visitar una página maliciosa o abrir un archivo malicioso. Este error en concreto existe dentro del procesamiento de tiscript. Al procesar el método System.Exec, la aplicación no valida correctamente una cadena proporcionada por el usuario antes de usarla para ejecutar una llamada al sistema. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto del proceso actual. Fue ZDI-CAN-7234.
Impacto
Puntuación base 3.x
8.80
Gravedad 3.x
ALTA
Puntuación base 2.0
6.80
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
CPE | Desde | Hasta |
---|---|---|
cpe:2.3:a:bitdefender:safepay:23.0.10.34:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página