Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en Bitdefender SafePay (CVE-2019-6736)

Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-78 Neutralización incorrecta de elementos especiales usados en un comando de sistema operativo (Inyección de comando de sistema operativo)
Fecha de publicación:
03/06/2019
Última modificación:
06/10/2020

Descripción

Esta vulnerabilidad permite a los atacantes remotos ejecutar código arbitrario en instalaciones vulnerables de Bitdefender SafePay versión 23.0.10.34. La interacción del usuario es necesaria para aprovechar esta vulnerabilidad, ya que el objetivo debe visitar una página maliciosa o abrir un archivo malicioso. Este error en concreto existe dentro del procesamiento de tiscript. Al procesar el método System.Exec, la aplicación no valida correctamente una cadena proporcionada por el usuario antes de usarla para ejecutar una llamada al sistema. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto del proceso actual. Fue ZDI-CAN-7234.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:bitdefender:safepay:23.0.10.34:*:*:*:*:*:*:*