Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en el método ExportStyle en el archivo cwui.ocx en National Instruments LabWindows/CVI 2012, National Instruments LabVIEW 2012 y el componente de Data Analysis en ABB DataManager (CVE-2013-5021)

Gravedad CVSS v2.0:
ALTA
Tipo:
CWE-22 Limitación incorrecta de nombre de ruta a un directorio restringido (Path Traversal)
Fecha de publicación:
06/08/2013
Última modificación:
11/04/2025

Descripción

Múltiples vulnerabilidades de salto de ruta (path) en el archivo cwui.ocx de National Instruments , como se usado en National Instruments LabWindows/CVI 2012 SP1 y anteriores, National Instruments LabVIEW 2012 SP1 y anteriores, el componente de Data Analysis en ABB DataManager versión 1 hasta 6.3.6, y otros productos permiten atacantes remotos crear y ejecutar archivos arbitrarios por medio de un acceso de ruta (path) completo en un argumento del método ExportStyle en el control de (1) CWNumEdit, (2) CWGraph, (3) CWBoolean, (4) CWSlide o (5) ActiveX CWKnob, en conjunción con el contenido del archivo en el valor de la propiedad (a) Caption o (b) FormatString.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:ni:labview:*:*:*:*:*:*:*:* 2012 (incluyendo)
cpe:2.3:a:ni:labwindows:*:*:*:*:*:*:*:* 2012 (incluyendo)
cpe:2.3:a:ni:measurementstudio:*:*:*:*:*:*:*:* 2013 (incluyendo)
cpe:2.3:a:ni:teststand:*:*:*:*:*:*:*:* 2012 (incluyendo)
cpe:2.3:a:abb:datamanager:1.0.0:*:*:*:*:*:*:*
cpe:2.3:a:abb:datamanager:6.3.6:*:*:*:*:*:*:*