Vulnerabilidad en xrdp (CVE-2023-40184)

Gravedad CVSS v3.1:

BAJA

Tipo:

No Disponible / Otro tipo

Fecha de publicación:

30/08/2023

Última modificación:

03/11/2025

Descripción

xrdp es un servidor de protocolo de escritorio remoto (RDP) de código abierto. En versiones anteriores a la 0.9.23, el manejo inadecuado de los errores de establecimiento de sesión permite eludir las restricciones de sesión a nivel del sistema operativo. La función `auth_start_session` puede devolver un valor distinto de cero (1), por ejemplo, en un error de PAM, lo que puede dar lugar a restricciones de sesión, como el número máximo de sesiones simultáneas por usuario por parte de PAM (por ejemplo, ./etc/security/limits.conf) para ser omitido. Los usuarios (administradores) que no utilizan restricciones por PAM no se ven afectados. Este problema se solucionó en la versión 0.9.23. Se recomienda a los usuarios que actualicen. No se conocen workarounds para este problema.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:H/PR:L/UI:R/S:U/C:N/I:N/A:L CVSS v3.1 Severidad y Métricas:

Puntuación base: 2.60 BAJA
Vector: CVSS:3.1/AV:N/AC:H/PR:L/UI:R/S:U/C:N/I:N/A:L

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Alto
Privilegios Requeridos (PR): Bajo
Interacción del usuario (UI): Obligatorio
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Ninguno
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Bajo