Vulnerabilidad en la función browsers.openDefaultBrowser en la URL en los navegadores de bibliotecas estándar en Nim (CVE-2020-15692)

Gravedad CVSS v3.1:

CRÍTICA

Tipo:

No Disponible / Otro tipo

Fecha de publicación:

14/08/2020

Última modificación:

08/02/2021

Descripción

En Nim versión 1.2.4, los navegadores de la biblioteca estándar manejan inapropiadamente el argumento de la URL para la función browsers.openDefaultBrowser. Este argumento puede ser una ruta de archivo local que será abierto en el explorador predeterminado. Un atacante puede pasar un argumento al comando abierto subyacente para ejecutar comandos arbitrarios del sistema registrado.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 9.80 CRÍTICA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Alto

Puntuación base 3.x

9.80

Gravedad 3.x

CRÍTICA

Vector 2.0

AV:N/AC:L/Au:N/C:C/I:C/A:C CVSS v2.0 Severidad y Métricas:

Puntuación base: 10.00 ALTA
Vector: AV:N/AC:L/Au:N/C:C/I:C/A:C

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Autenticación (Au): Ninguno
Impacto a la confidencialidad (C): Completo
Impacto a la integridad (I): Completo
Impacto a la disponibilidad (A): Completo