Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en la biblioteca HPInfoDLL.dll en LaunchApp (CVE-2007-6331)

Gravedad CVSS v2.0:
ALTA
Tipo:
CWE-22 Limitación incorrecta de nombre de ruta a un directorio restringido (Path Traversal)
Fecha de publicación:
13/12/2007
Última modificación:
09/04/2025

Descripción

Una vulnerabilidad de salto de ruta (path) absoluta en el control ActiveX HPInfoDLL.HPInfo.1 en la biblioteca HPInfoDLL.dll versión 1.0, tal como es incorporado con HP Info Center (hpinfocenter.exe) versión 1.0.1.1 en HP Quick Launch Button (QLBCTRL.exe, también se conoce como QLB) versiones 6.3 y anteriores, permite a los atacantes remotos ejecutar programas arbitrarios por medio del primer argumento en el método LaunchApp. NOTA: solo un ataque asistido por el usuario es posible en Windows Vista.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:hp:info_center:1.0.1.1:*:*:*:*:*:*:*
cpe:2.3:a:hp:quick_launch_button:*:*:*:*:*:*:*:* 6.3 (incluyendo)