Vulnerabilidad en aria2 (CVE-2019-3500)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-532
Exposición de información a través de archivos de log
Fecha de publicación:
02/01/2019
Última modificación:
07/11/2023
Descripción
aria2c en la versión 1.33.1 de aria2, cuando se utiliza --log, puede almacenar un nombre de usuario y contraseña de HTTP Basic Authentication en un archivo, lo que podría permitir a usuarios locales obtener información sensible al leer dicho archivo.
Impacto
Puntuación base 3.x
7.80
Gravedad 3.x
ALTA
Puntuación base 2.0
2.10
Gravedad 2.0
BAJA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:aria2_project:aria2:1.33.1:*:*:*:*:*:*:* | ||
| cpe:2.3:o:debian:debian_linux:8.0:*:*:*:*:*:*:* | ||
| cpe:2.3:o:debian:debian_linux:9.0:*:*:*:*:*:*:* | ||
| cpe:2.3:o:fedoraproject:fedora:28:*:*:*:*:*:*:* | ||
| cpe:2.3:o:fedoraproject:fedora:29:*:*:*:*:*:*:* | ||
| cpe:2.3:o:fedoraproject:fedora:30:*:*:*:*:*:*:* | ||
| cpe:2.3:o:canonical:ubuntu_linux:18.10:*:*:*:*:*:*:* | ||
| cpe:2.3:o:canonical:ubuntu_linux:19.04:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://github.com/aria2/aria2/issues/1329
- https://lists.debian.org/debian-lts-announce/2019/01/msg00012.html
- https://lists.debian.org/debian-lts-announce/2021/12/msg00039.html
- https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/532M22TAOOIY3J4XX4R7BLZHXJRUSBQ2/
- https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/7MUUYDELHRLVE2AFNVR3OJ6ILUKVLY4B/
- https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/U5OLPTVYHJZJ2MVEXJCNPXBSFPVPE4XX/
- https://usn.ubuntu.com/3965-1/