Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Limitación incorrecta de una ruta a un directorio restringido en Aqua eSolutions

Fecha de publicación 17/07/2023
Identificador

INCIBE-2023-0281

Importancia
5 - Crítica
Recursos Afectados

Aqua Drive, versión 2.4.

Descripción

INCIBE ha coordinado la publicación de una vulnerabilidad que afecta a Aqua Drive, la cual ha sido descubierta por Ander Martínez, de Titanium Industrial Security.

A esta vulnerabilidad se le ha asignado el siguiente código:

CVE-2023-3701:

  • Puntuación base CVSS v3.1: 9.9.
  • Cálculo del CVSS: AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
  • Tipo de vulnerabilidad: CWE-23: Relative Path Traversal.
Solución

Actualizar a la versión 2.5.

Detalle

CVE-2023-3701: vulnerabilidad de limitación incorrecta de una ruta a un directorio restringido (Path Traversal) en Aqua Drive, cuya explotación podría permitir a un atacante autenticado sin privilegios acceder o modificar los recursos almacenados de otros usuarios y los archivos fuente y de configuración de la plataforma de disco en la nube, afectando la integridad y disponibilidad de toda la plataforma.

Listado de referencias
Aqua Drive su disco duro virtual en la nube
Etiquetas