Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en la rutina para comprobar los permisos del archivo de registro e informe en CISOfy Lynis (CVE-2020-13882)

Gravedad CVSS v3.1:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
18/06/2020
Última modificación:
07/11/2023

Descripción

CISOfy Lynis versiones anteriores a 3.0.0, presenta un Control de Acceso Incorrecto debido a una condición de carrera TOCTOU. La rutina para comprobar los permisos del archivo de registro e informe no funcionaba según lo previsto y podía ser omitida localmente. Debido a la carrera, un atacante no privilegiado puede configurar un archivo de registro e informe, y controlarlo hasta el punto en que la rutina específica esté haciendo su comprobación. Después de eso, el archivo puede ser eliminado, creado nuevamente y usado para ataques adicionales

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:cisofy:lynis:*:*:*:*:*:*:*:* 3.0.0 (excluyendo)
cpe:2.3:o:fedoraproject:fedora:31:*:*:*:*:*:*:*
cpe:2.3:o:fedoraproject:fedora:32:*:*:*:*:*:*:*