Vulnerabilidad en Paginador para Linux: cbrPager versiones anteriores a 0.9.17. (CVE-2008-2575)
Gravedad CVSS v2.0:
MEDIA
Tipo:
CWE-78
Neutralización incorrecta de elementos especiales usados en un comando de sistema operativo (Inyección de comando de sistema operativo)
Fecha de publicación:
06/06/2008
Última modificación:
02/02/2024
Descripción
cbrPager anteriores a 0.9.17, permite a atacantes remotos asistidos por el usuario ejecutar comandos de su elección a través de metacaracteres de consola en un archivo con nombre de fichero (1) ZIP (aka .cbz) o (2) RAR (aka .cbr).
Impacto
Puntuación base 2.0
6.80
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:jcoppens:cbrpager:*:*:*:*:*:*:*:* | 0.9.17 (excluyendo) | |
| cpe:2.3:o:fedoraproject:fedora:7:*:*:*:*:*:*:* | ||
| cpe:2.3:o:fedoraproject:fedora:8:*:*:*:*:*:*:* | ||
| cpe:2.3:o:fedoraproject:fedora:9:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://cvs.fedoraproject.org/viewcvs/rpms/cbrpager/devel/cbrpager-0.9.16-filen-shell-escaping.patch?rev=1.2
- http://secunia.com/advisories/30417
- http://secunia.com/advisories/30438
- http://secunia.com/advisories/30701
- http://security.gentoo.org/glsa/glsa-200806-05.xml
- http://sourceforge.net/forum/forum.php?forum_id=827120
- http://sourceforge.net/project/shownotes.php?release_id=601538&group_id=119647
- http://www.jcoppens.com/soft/cbrpager/log.en.php
- http://www.vupen.com/english/advisories/2008/1693/references
- https://bugzilla.redhat.com/show_bug.cgi?id=448285
- https://exchange.xforce.ibmcloud.com/vulnerabilities/42741