Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en Google Inc. (CVE-2024-54462)

Gravedad CVSS v4.0:
BAJA
Tipo:
CWE-23 Limitación incorrecta de nombre de ruta relativa a un directorio restringido (Relative Path Traversal)
Fecha de publicación:
29/01/2025
Última modificación:
29/01/2025

Descripción

Los nombres de archivo creados dentro de image_picker no cumplen con las comprobaciones desinfección, lo que los deja vulnerables a proveedores de documentos maliciosos. Esto puede generar casos en los que un usuario con un proveedor de documentos malicioso instalado pueda seleccionar un archivo de imagen de ese proveedor mientras usa su aplicación y podría anular archivos internos en la memoria caché de su aplicación. Problema corregido en 0.8.12+18. Se recomienda actualizar a la última versión de image_picker_android que contiene los cambios para solucionar esta vulnerabilidad.

Referencias a soluciones, herramientas e información