Vulnerabilidad de elemento de ruta de búsqueda incontrolada en Plesk
Fecha de publicación 27/11/2023
Identificador
INCIBE-2023-0522
Importancia
3 - Media
Recursos Afectados
- Plesk Installer, versión 3.27.0.0.
Descripción
INCIBE ha coordinado la publicación de una vulnerabilidad que afecta al instalador de Plesk en su versión 3.27.0.0, una plataforma de gestión de servidores, que ha sido descubierta por Alexander Huaman Jaimes.
A esta vulnerabilidad se le ha asignado el siguiente código, puntuación base CVSS v3.1, vector del CVSS y el tipo de vulnerabilidad CWE:
- CVE-2023-4931: CVSS v3.1: 6.3 | CVSS: AV:L/AC:H/PR:L/UI:R/S:U/C:H/I:H/A:L | CWE-427.
Solución
La vulnerabilidad ha sido corregida en Plesk Installer 3.55.0.
Detalle
- CVE-2023-4931: vulnerabilidad de elemento de ruta de búsqueda incontrolada en Plesk Installer afecta a la versión 3.27.0.0. Un atacante local podría ejecutar código arbitrario inyectando archivos DLL en la misma carpeta donde está instalada la aplicación, lo que resultaría en un secuestro de DLL en los archivos edputil.dll, samlib.dll, urlmon.dll, sspicli.dll, propsys.dll y profapi.dll.
Etiquetas