Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en ActiveTcl (CVE-2012-5378)

Gravedad CVSS v2.0:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
11/10/2012
Última modificación:
11/04/2025

Descripción

Vulnerabilidad de path de búsqueda no confiable en la funcionalidad de instalación de ActiveTcl v8.5.12, cuando está instalada en el directorio C:\, podría permitir a usuarios locales obtener privilegios a través de un fichero DLL troyanizado en el directorio C:\TD\bin, el cuales puede ser añadido a la variable de entorno PATH por un adminsitrador, como se demostró con el fichero wlbsctrl.dll troyanizado usado en el servicio de sistema "IKE and AuthIP IPsec Keying Modules" en Windows Vista SP1, Windows Server 2008 SP2, Windows 7 SP1, y Windows 8 Release Preview.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:activestate:activetcl:8.5.12:*:*:*:*:*:*:*