Vulnerabilidad en Arc (CVE-2023-5935)
Severidad:
ALTA
Type:
CWE-306
Ausencia de autenticación para una función crítica
Fecha de publicación:
15/05/2024
Última modificación:
28/05/2024
Descripción
Al configurar Arc (por ejemplo, durante la primera configuración), se proporciona una interfaz web local para facilitar el proceso de configuración. Dicha interfaz web carece de autenticación y, por lo tanto, un atacante local o un malware que se ejecuta en la propia máquina pueden abusar de ella. Un usuario o proceso local malicioso, durante una ventana de oportunidad cuando la interfaz web local está activa, puede extraer información confidencial o cambiar la configuración de Arc. Esto también podría provocar la ejecución de código arbitrario si se instala un paquete de actualización malicioso.
Impacto
Puntuación base 3.x
7.40
Severidad 3.x
ALTA