Vulnerabilidad en NTFS NtfsHandler.cpp (CVE-2023-52169)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-125
Lectura fuera de límites
Fecha de publicación:
03/07/2024
Última modificación:
03/11/2025
Descripción
El controlador NTFS NtfsHandler.cpp en 7-Zip anterior a 24.01 (para 7zz) contiene una lectura fuera de los límites que permite a un atacante leer más allá del búfer previsto. Los bytes leídos más allá del búfer previsto se presentan como parte de un nombre de archivo que figura en la imagen del sistema de archivos. Esto tiene relevancia para la seguridad en algunos casos de uso conocidos de servicios web donde usuarios que no son de confianza pueden cargar archivos y extraerlos mediante un proceso 7-Zip del lado del servidor.
Impacto
Puntuación base 3.x
8.20
Gravedad 3.x
ALTA
Referencias a soluciones, herramientas e información
- http://www.openwall.com/lists/oss-security/2024/07/03/10
- https://dfir.ru/2024/06/19/vulnerabilities-in-7-zip-and-ntfs3/
- https://sourceforge.net/p/sevenzip/bugs/2402/
- https://www.openwall.com/lists/oss-security/2024/07/03/10
- http://www.openwall.com/lists/oss-security/2024/07/03/10
- https://dfir.ru/2024/06/19/vulnerabilities-in-7-zip-and-ntfs3/
- https://security.netapp.com/advisory/ntap-20241122-0011/
- https://sourceforge.net/p/sevenzip/bugs/2402/
- https://www.openwall.com/lists/oss-security/2024/07/03/10