Vulnerabilidad en Subversion (CVE-2024-45720)

Gravedad CVSS v3.1:

ALTA

Tipo:

CWE-78 Neutralización incorrecta de elementos especiales usados en un comando de sistema operativo (Inyección de comando de sistema operativo)

Fecha de publicación:

09/10/2024

Última modificación:

11/02/2025

Descripción

En las plataformas Windows, una conversión de codificación de caracteres de "ajuste óptimo" de argumentos de línea de comandos a ejecutables de Subversion (por ejemplo, svn.exe, etc.) puede provocar una interpretación inesperada de los argumentos de línea de comandos, incluida la inyección de argumentos y la ejecución de otros programas, si se procesa una cadena de argumentos de línea de comandos especialmente manipulada. Todas las versiones de Subversion hasta Subversion 1.14.3 incluida se ven afectadas solo en plataformas Windows. Se recomienda a los usuarios actualizar a la versión Subversion 1.14.4, que soluciona este problema. Subversion no se ve afectado en plataformas tipo UNIX.

Impacto

Vector 3.x

CVSS:3.1/AV:L/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 8.20 ALTA
Vector: CVSS:3.1/AV:L/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:H

Vector de acceso (AV): Local
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Bajo
Interacción del usuario (UI): Obligatorio
Alcance (S): Modificado
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Alto