Vulnerabilidad en qBittorrent (CVE-2023-30801)
Gravedad CVSS v3.1:
CRÍTICA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
10/10/2023
Última modificación:
13/02/2025
Descripción
Todas las versiones del cliente qBittorrent hasta la 4.5.5 utilizan credenciales predeterminadas cuando la interfaz de usuario web está habilitada. El administrador no está obligado a cambiar las credenciales predeterminadas. A partir de 4.5.5, este problema no se ha solucionado. Un atacante remoto puede utilizar las credenciales predeterminadas para autenticar y ejecutar comandos arbitrarios del sistema operativo utilizando la función "programa externo" en la interfaz de usuario web. Según se informa, esto fue explotado salvajemente en marzo de 2023.
Impacto
Puntuación base 3.x
9.80
Gravedad 3.x
CRÍTICA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:qbittorrent:qbittorrent:*:*:*:*:*:*:*:* | 4.5.5 (incluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://github.com/qbittorrent/qBittorrent/issues/18731
- https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/T5WXBKELVZFZNIDONIJESOCSRPIQNCGI/
- https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/U4BNFJR3ZWVLE2YSYIQYBWVDQBBZOLEL/
- https://vulncheck.com/advisories/qbittorrent-default-creds
- https://github.com/qbittorrent/qBittorrent/issues/18731
- https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/T5WXBKELVZFZNIDONIJESOCSRPIQNCGI/
- https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/U4BNFJR3ZWVLE2YSYIQYBWVDQBBZOLEL/
- https://vulncheck.com/advisories/qbittorrent-default-creds