Vulnerabilidad en un archivo dentro de una carpeta comprometida en el cliente de Microsoft Windows en IBM DB2 Accessories Suite para Linux, UNIX y Windows y DB2 para Linux, UNIX y Windows (CVE-2020-4739)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-426
Ruta de búsqueda no confiable
Fecha de publicación:
20/11/2020
Última modificación:
03/12/2020
Descripción
IBM DB2 Accessories Suite para Linux, UNIX y Windows, DB2 para Linux, UNIX y Windows (incluye DB2 Connect Server) versiones 9.7, 10.1, 10.5, 11.1 y 11.5, podrían permitir a un atacante local autenticado ejecutar código arbitrario en el sistema, causado por una vulnerabilidad de secuestro de orden de búsqueda DLL en el cliente de Microsoft Windows. Al colocar un archivo especialmente diseñado en una carpeta comprometida, un atacante podría explotar esta vulnerabilidad para ejecutar código arbitrario en el sistema.  IBM X-Force ID: 188149
Impacto
Puntuación base 3.x
7.80
Gravedad 3.x
ALTA
Puntuación base 2.0
6.90
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:ibm:db2:*:*:*:*:*:*:*:* | 11.5 (incluyendo) | 11.5.5.0 (excluyendo) |
| cpe:2.3:a:ibm:db2:9.7.0.0:*:*:*:*:*:*:* | ||
| cpe:2.3:a:ibm:db2:10.1.0.0:*:*:*:*:*:*:* | ||
| cpe:2.3:a:ibm:db2:10.5.0.0:*:*:*:*:*:*:* | ||
| cpe:2.3:a:ibm:db2:11.1.0.0:*:*:*:*:*:*:* | ||
| cpe:2.3:o:microsoft:windows:-:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página