Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidad de ruta o elemento de búsqueda sin comillas en SugarSync

Fecha de publicación 03/05/2024
Identificador
INCIBE-2024-0222
Importancia
4 - Alta
Recursos Afectados

SugarSync, versiones inferiores a 4.1.3.

Descripción

INCIBE ha coordinado la publicación de una vulnerabilidad de severidad alta que afecta a SugarSync Inc., un servicio de almacenamiento y sincronización de documentos en la nube, en versiones inferiores a la 4.1.3, la cual ha sido descubierta por Jorge Manuel Lozano Gómez.

A esta vulnerabilidad se le ha asignado el siguiente código, puntuación base CVSS v3.1, vector del CVSS y el tipo de vulnerabilidad CWE:

  • CVE-2024-4461: 7.8 | CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H | CWE-428.
Solución

No hay solución reportada por el momento.

Detalle

CVE-2024-4461: vulnerabilidad de ruta o elemento de búsqueda sin comillas, en versiones de SugarSync anteriores a la 4.1.3 para Windows. Esta configuración errónea podría permitir que un usuario local no autorizado inyecte código arbitrario en la ruta del servicio sin comillas, lo que provocaría una escalada de privilegios.

Listado de referencias
Página web de SugarSync
Etiquetas