Vulnerabilidad en EasyRange Ver 1.41 (CVE-2024-28131)

Gravedad CVSS v3.1:

ALTA

Tipo:

CWE-427 Elemento no controlado en la ruta de búsqueda

Fecha de publicación:

26/03/2024

Última modificación:

02/08/2024

Descripción

EasyRange Ver 1.41 contiene un problema con la ruta de búsqueda de archivos ejecutables cuando se muestra un archivo extraído en el Explorador, lo que puede provocar que se cargue un archivo ejecutable que reside en la misma carpeta donde se encuentra el archivo extraído. Si se explota esta vulnerabilidad, se puede ejecutar código arbitrario con el privilegio del programa en ejecución. Tenga en cuenta que no se pudo localizar al desarrollador; por lo tanto, los usuarios deberían considerar dejar de usar EasyRange Ver 1.41.

Impacto

Vector 3.x

CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 7.80 ALTA
Vector: CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

Vector de acceso (AV): Local
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Obligatorio
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Alto

Puntuación base 3.x

7.80

Gravedad 3.x

ALTA

Referencias a soluciones, herramientas e información

https://jvn.jp/en/jp/JVN13113728/index.html