Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en delete_pid_file en las opciones -oP y -oPX en Exim 4 (CVE-2021-27216)

Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-362 Ejecución concurrente utilizando recursos compartidos con una incorrecta sincronización (Condición de carrera)
Fecha de publicación:
06/05/2021
Última modificación:
28/06/2022

Descripción

Exim 4 versiones anteriores a 4.94.2, presenta una Ejecución con Privilegios Innecesarios. Al aprovechar una condición de carrera delete_pid_file, un usuario local puede eliminar archivos arbitrarios como root. Esto involucra las opciones -oP y -oPX

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:exim:exim:*:*:*:*:*:*:*:* 4.94.2 (excluyendo)