Vulnerabilidad en Wind River VxWorks (CVE-2023-38346)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-22
Limitación incorrecta de nombre de ruta a un directorio restringido (Path Traversal)
Fecha de publicación:
22/09/2023
Última modificación:
25/09/2024
Descripción
Se descubrió un problema en Wind River VxWorks 6.9 y 7. La función ``tarExtract`` implementa la extracción de archivos TAR y, por lo tanto, también procesa archivos dentro de un archivo que tienen rutas de archivo relativas o absolutas. Un desarrollador que utilice la función "tarExtract" puede esperar que la función elimine las barras diagonales iniciales de las rutas absolutas o detenga el procesamiento cuando encuentre rutas relativas que estén fuera de la ruta de extracción, a menos que se fuerce lo contrario. Esto podría dar lugar a un comportamiento inesperado y no documentado, que en general podría dar lugar a un Directory Traversal y un comportamiento inesperado asociado.
Impacto
Puntuación base 3.x
8.80
Gravedad 3.x
ALTA
Productos y versiones vulnerables
CPE | Desde | Hasta |
---|---|---|
cpe:2.3:o:windriver:vxworks:6.9:*:*:*:*:*:*:* | ||
cpe:2.3:o:windriver:vxworks:7.0:-:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página