Vulnerabilidad en MITRE (CVE-2024-32487)
Severidad:
ALTA
Type:
No Disponible / Otro tipo
Fecha de publicación:
13/04/2024
Última modificación:
08/07/2024
Descripción
less hasta 653 permite la ejecución de comandos del sistema operativo mediante un carácter de nueva línea en el nombre de un archivo, porque las comillas se manejan mal en filename.c. La explotación normalmente requiere el uso de nombres de archivos controlados por el atacante, como los archivos extraídos de un archivo que no es de confianza. La explotación también requiere la variable de entorno LESSOPEN, pero está configurada de forma predeterminada en muchos casos comunes.
Impacto
Puntuación base 3.x
8.60
Severidad 3.x
ALTA
Referencias a soluciones, herramientas e información
- http://www.openwall.com/lists/oss-security/2024/04/15/1
- https://github.com/gwsw/less/commit/007521ac3c95bc76e3d59c6dbfe75d06c8075c33
- https://lists.debian.org/debian-lts-announce/2024/05/msg00018.html
- https://security.netapp.com/advisory/ntap-20240605-0009/
- https://www.openwall.com/lists/oss-security/2024/04/12/5
- https://www.openwall.com/lists/oss-security/2024/04/13/2