Vulnerabilidad en la función logging de Armoury Crate Service (CVE-2022-38699)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-59
Incorrecta resolución de una ruta antes de aceder a un fichero (Seguimiento de enlaces)
Fecha de publicación:
28/09/2022
Última modificación:
30/09/2022
Descripción
La función logging de Armoury Crate Service presenta una comprobación insuficiente para comprobar si el archivo de registro es un enlace simbólico. Un atacante físico con privilegio de usuario general puede modificar la propiedad del archivo de registro a un enlace simbólico que apunte a un archivo de sistema arbitrario, causando que la función de registro sobrescriba el archivo de sistema y perturbe el sistema
Impacto
Puntuación base 3.x
5.90
Gravedad 3.x
MEDIA
Productos y versiones vulnerables
CPE | Desde | Hasta |
---|---|---|
cpe:2.3:a:asus:armoury_crate_service:*:*:*:*:*:*:*:* | 5.2.10.0 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página