Vulnerabilidad en Qlik Sense Enterprise para Windows (CVE-2023-41266)

Gravedad CVSS v3.1:

ALTA

Tipo:

CWE-22 Limitación incorrecta de nombre de ruta a un directorio restringido (Path Traversal)

Fecha de publicación:

29/08/2023

Última modificación:

29/11/2024

Descripción

Una vulnerabilidad de limitación incorrecta de una ruta a un directorio restringido (path traversal) detectada en Qlik Sense Enterprise para Windows, para las versiones Mayo 2023 Parche 3 y anteriores, Febrero 2023 Parche 7 y anteriores, Noviembre 2022 Parche 10 y anteriores, y Agosto 2022 Parche 12 y anteriores, permite a un atacante remoto no autenticado generar una sesión anónima. Esto le permite transmitir peticiones HTTP a endpoints no autorizados. Esto se ha corregido en la IR de Agosto de 2023, el Parche 4 de Mayo de 2023, el Parche 8 de febrero de 2023, el Parche 11 de Noviembre de 2022 y el Parche 13 de Agosto de 2022.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 8.20 ALTA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Bajo
Impacto a la disponibilidad (A): Ninguno

Puntuación base 3.x

8.20

Gravedad 3.x

ALTA

Productos y versiones vulnerables

CPE	Desde	Hasta
cpe:2.3:a:qlik:qlik_sense:august_2022:-:::enterprise:windows::
cpe:2.3:a:qlik:qlik_sense:august_2022:patch_1:::enterprise:windows::
cpe:2.3:a:qlik:qlik_sense:august_2022:patch_10:::enterprise:windows::
cpe:2.3:a:qlik:qlik_sense:august_2022:patch_11:::enterprise:windows::
cpe:2.3:a:qlik:qlik_sense:august_2022:patch_12:::enterprise:windows::
cpe:2.3:a:qlik:qlik_sense:august_2022:patch_2:::enterprise:windows::
cpe:2.3:a:qlik:qlik_sense:august_2022:patch_3:::enterprise:windows::
cpe:2.3:a:qlik:qlik_sense:august_2022:patch_4:::enterprise:windows::
cpe:2.3:a:qlik:qlik_sense:august_2022:patch_5:::enterprise:windows::
cpe:2.3:a:qlik:qlik_sense:august_2022:patch_6:::enterprise:windows::
cpe:2.3:a:qlik:qlik_sense:august_2022:patch_7:::enterprise:windows::
cpe:2.3:a:qlik:qlik_sense:august_2022:patch_8:::enterprise:windows::
cpe:2.3:a:qlik:qlik_sense:august_2022:patch_9:::enterprise:windows::
cpe:2.3:a:qlik:qlik_sense:february_2023:-:::enterprise:windows::
cpe:2.3:a:qlik:qlik_sense:february_2023:patch_1:::enterprise:windows::

Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página

CPE	Desde	Hasta
cpe:2.3:a:qlik:qlik_sense:august_2022:-:::enterprise:windows::
cpe:2.3:a:qlik:qlik_sense:august_2022:patch_1:::enterprise:windows::
cpe:2.3:a:qlik:qlik_sense:august_2022:patch_10:::enterprise:windows::
cpe:2.3:a:qlik:qlik_sense:august_2022:patch_11:::enterprise:windows::
cpe:2.3:a:qlik:qlik_sense:august_2022:patch_12:::enterprise:windows::
cpe:2.3:a:qlik:qlik_sense:august_2022:patch_2:::enterprise:windows::
cpe:2.3:a:qlik:qlik_sense:august_2022:patch_3:::enterprise:windows::
cpe:2.3:a:qlik:qlik_sense:august_2022:patch_4:::enterprise:windows::
cpe:2.3:a:qlik:qlik_sense:august_2022:patch_5:::enterprise:windows::
cpe:2.3:a:qlik:qlik_sense:august_2022:patch_6:::enterprise:windows::
cpe:2.3:a:qlik:qlik_sense:august_2022:patch_7:::enterprise:windows::
cpe:2.3:a:qlik:qlik_sense:august_2022:patch_8:::enterprise:windows::
cpe:2.3:a:qlik:qlik_sense:august_2022:patch_9:::enterprise:windows::
cpe:2.3:a:qlik:qlik_sense:february_2023:-:::enterprise:windows::
cpe:2.3:a:qlik:qlik_sense:february_2023:patch_1:::enterprise:windows::

Vulnerabilidad en Qlik Sense Enterprise para Windows (CVE-2023-41266)

Descripción

Impacto

Productos y versiones vulnerables

Referencias a soluciones, herramientas e información