Vulnerabilidad en 7-Zip CopyCoder (CVE-2024-11612)

Gravedad CVSS v3.1:

MEDIA

Tipo:

No Disponible / Otro tipo

Fecha de publicación:

22/11/2024

Última modificación:

22/11/2024

Descripción

Vulnerabilidad de denegación de servicio de bucle infinito en 7-Zip CopyCoder. Esta vulnerabilidad permite a atacantes remotos crear una condición de denegación de servicio en las instalaciones afectadas de 7-Zip. Se requiere la interacción con esta librería para explotar esta vulnerabilidad, pero los vectores de ataque pueden variar según la implementación. La falla específica existe dentro del procesamiento de flujos. El problema es el resultado de un error lógico que puede conducir a un bucle infinito. Un atacante puede aprovechar esta vulnerabilidad para crear una condición de denegación de servicio en el sistema. Era ZDI-CAN-24307.

Impacto

Vector 3.x

CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 6.50 MEDIA
Vector: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Obligatorio
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Ninguno
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Alto

Puntuación base 3.x

6.50

Gravedad 3.x

MEDIA

Referencias a soluciones, herramientas e información

https://www.zerodayinitiative.com/advisories/ZDI-24-1606/