Vulnerabilidad en la función extractTree en unADF (CVE-2016-1244)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-20
Validación incorrecta de entrada
Fecha de publicación:
03/10/2016
Última modificación:
12/04/2025
Descripción
La función extractTree en unADF permite a atacantes remotos ejecutar código arbitrario a través de metacaracteres de shell en un nombre de directorio en un archivo adf.
Impacto
Puntuación base 3.x
8.80
Gravedad 3.x
ALTA
Puntuación base 2.0
9.30
Gravedad 2.0
ALTA
Productos y versiones vulnerables
CPE | Desde | Hasta |
---|---|---|
cpe:2.3:a:unadf_project:unadf:1.0:*:*:*:*:*:*:* | ||
cpe:2.3:o:debian:debian_linux:7.0:*:*:*:*:*:*:* | ||
cpe:2.3:o:debian:debian_linux:8.0:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://tmp.tjjr.fi/0001-Fix-unsafe-extraction-by-using-mkdir-instead-of-shel.patch
- http://www.debian.org/security/2016/dsa-3676
- http://www.securityfocus.com/bid/93332
- https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=838248
- https://lists.debian.org/debian-lts-announce/2024/03/msg00015.html
- https://security.gentoo.org/glsa/201804-20
- http://tmp.tjjr.fi/0001-Fix-unsafe-extraction-by-using-mkdir-instead-of-shel.patch
- http://www.debian.org/security/2016/dsa-3676
- http://www.securityfocus.com/bid/93332
- https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=838248
- https://lists.debian.org/debian-lts-announce/2024/03/msg00015.html
- https://security.gentoo.org/glsa/201804-20