Vulnerabilidad en webcrack (CVE-2024-43373)

Gravedad CVSS v3.1:

ALTA

Tipo:

CWE-22 Limitación incorrecta de nombre de ruta a un directorio restringido (Path Traversal)

Fecha de publicación:

15/08/2024

Última modificación:

16/08/2024

Descripción

webcrack es una herramienta para realizar ingeniería inversa en javascript. Existe una vulnerabilidad de escritura de archivos arbitraria en el módulo webcrack cuando se procesa código malicioso específicamente manipulado en sistemas Windows. Esta vulnerabilidad se activa cuando se utiliza la función de descomprimir paquetes junto con la función de guardar. Si el nombre de un módulo incluye una secuencia de path traversal con separadores de ruta de Windows, un atacante puede aprovechar esto para sobrescribir archivos en el sistema host. Esta vulnerabilidad permite a un atacante escribir archivos `.js` arbitrarios en el sistema host, que pueden aprovecharse para secuestrar módulos Node.js legítimos y obtener la ejecución de código arbitrario. Esta vulnerabilidad ha sido parcheada en la versión 2.14.1.

Impacto

Vector 3.x

CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 7.80 ALTA
Vector: CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

Vector de acceso (AV): Local
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Obligatorio
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Alto