Vulnerabilidad en Plain Craft Launcher (CVE-2025-31488)

Gravedad CVSS v4.0:

MEDIA

Tipo:

CWE-20 Validación incorrecta de entrada

Fecha de publicación:

06/04/2025

Última modificación:

07/04/2025

Descripción

Plain Craft Launcher (PCL) es un lanzador para Minecraft. PCL permite a los usuarios usar páginas de inicio de terceros. Si se usan controles como WebBrowser en la página de inicio, WPF usará Internet Explorer para cargar la página web especificada. Si el usuario usa una página de inicio maliciosa, el atacante puede usar el fondo de IE para acceder a la página web especificada sin saberlo. Esta vulnerabilidad se corrigió en la versión 2.9.3.

Impacto

Vector 4.0

CVSS:4.0/AV:L/AC:L/AT:P/PR:N/UI:A/VC:N/VI:N/VA:N/SC:H/SI:H/SA:H CVSS v4.0 Severidad y Métricas:

Puntuación base: 4.90 MEDIA
Vector: CVSS:4.0/AV:L/AC:L/AT:P/PR:N/UI:A/VC:N/VI:N/VA:N/SC:H/SI:H/SA:H

Vector de acceso (AV): Local
Complejidad de acceso (AC): Bajo
Attack Requirements (AT): Present
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Activo
Confidentiality (VC): Ninguno
Integrity (VI): Ninguno
Availability (VA): Ninguno
Confidentiality (SC): Alto
Integrity (SI): Alto
Availability (SA): Alto

Puntuación base 4.0

4.90

Gravedad 4.0

MEDIA

Referencias a soluciones, herramientas e información

https://github.com/Hex-Dragon/PCL2/security/advisories/GHSA-wfpw-hfcp-9m73