Vulnerabilidad en 1E Client (CVE-2023-45159)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-59
Incorrecta resolución de una ruta antes de aceder a un fichero (Seguimiento de enlaces)
Fecha de publicación:
05/10/2023
Última modificación:
20/05/2025
Descripción
El instalador de 1E Client puede realizar la eliminación arbitraria de archivos protegidos. Un usuario sin privilegios podría proporcionar un enlace simbólico o una unión de Windows para apuntar a un directorio protegido en el instalador que el Cliente 1E borraría al iniciar el servicio. Hay una revisión disponible en el portal de soporte 1E que obliga al Cliente 1E a buscar un enlace o cruce simbólico y, si encuentra uno, se niega a usar esa ruta y en su lugar crea una ruta que involucra un GUID aleatorio para v8.1 use hotfix Q23097 para v8.4 use hotfix Q23105 para v9.0 use hotfix Q23115 para clientes de SaaS, use 1EClient v23.7 plus hotfix Q23121
Impacto
Puntuación base 3.x
8.40
Gravedad 3.x
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:1e:client:8.1.2.62:*:*:*:*:windows:*:* | ||
| cpe:2.3:a:1e:client:8.4.1.159:*:*:*:*:windows:*:* | ||
| cpe:2.3:a:1e:client:9.0.1.88:*:*:*:*:windows:*:* | ||
| cpe:2.3:a:1e:client:23.7.1.151:*:*:*:*:windows:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página