Vulnerabilidad en Google Inc. (CVE-2024-54462)

Gravedad CVSS v4.0:

BAJA

Tipo:

CWE-23 Limitación incorrecta de nombre de ruta relativa a un directorio restringido (Relative Path Traversal)

Fecha de publicación:

29/01/2025

Última modificación:

29/01/2025

Descripción

Los nombres de archivo creados dentro de image_picker no cumplen con las comprobaciones desinfección, lo que los deja vulnerables a proveedores de documentos maliciosos. Esto puede generar casos en los que un usuario con un proveedor de documentos malicioso instalado pueda seleccionar un archivo de imagen de ese proveedor mientras usa su aplicación y podría anular archivos internos en la memoria caché de su aplicación. Problema corregido en 0.8.12+18. Se recomienda actualizar a la última versión de image_picker_android que contiene los cambios para solucionar esta vulnerabilidad.

Impacto

Vector 4.0

CVSS:4.0/AV:L/AC:H/AT:N/PR:L/UI:A/VC:N/VI:L/VA:L/SC:N/SI:H/SA:H CVSS v4.0 Severidad y Métricas:

Puntuación base: 2.10 BAJA
Vector: CVSS:4.0/AV:L/AC:H/AT:N/PR:L/UI:A/VC:N/VI:L/VA:L/SC:N/SI:H/SA:H

Vector de acceso (AV): Local
Complejidad de acceso (AC): Alto
Attack Requirements (AT): Ninguno
Privilegios Requeridos (PR): Bajo
Interacción del usuario (UI): Activo
Confidentiality (VC): Ninguno
Integrity (VI): Bajo
Availability (VA): Bajo
Confidentiality (SC): Ninguno
Integrity (SI): Alto
Availability (SA): Alto

Puntuación base 4.0

2.10

Gravedad 4.0

BAJA

Referencias a soluciones, herramientas e información

https://github.com/flutter/packages/security/advisories/GHSA-98v2-f47x-89xw