Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en la función logging de Armoury Crate Service (CVE-2022-38699)

Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-59 Incorrecta resolución de una ruta antes de aceder a un fichero (Seguimiento de enlaces)
Fecha de publicación:
28/09/2022
Última modificación:
30/09/2022

Descripción

La función logging de Armoury Crate Service presenta una comprobación insuficiente para comprobar si el archivo de registro es un enlace simbólico. Un atacante físico con privilegio de usuario general puede modificar la propiedad del archivo de registro a un enlace simbólico que apunte a un archivo de sistema arbitrario, causando que la función de registro sobrescriba el archivo de sistema y perturbe el sistema

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:asus:armoury_crate_service:*:*:*:*:*:*:*:* 5.2.10.0 (excluyendo)


Referencias a soluciones, herramientas e información