Limitación incorrecta de una ruta a un directorio restringido en ConacWin CB de Setelsa Security
INCIBE-2023-0271
ConacWin CB, versiones 3.8.2.2 y anteriores.
INCIBE ha coordinado la publicación de una vulnerabilidad que afecta a ConacWin CB, de Setelsa Security, una plataforma de control de acceso, la cual ha sido descubierta por Agustín Picazo (Black Giraffe).
A esta vulnerabilidad se le ha asignado el siguiente código:
CVE-2023-3512:
- Puntuación base CVSS v3.1: 7.5.
- Cálculo del CVSS: AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N.
- Tipo de vulnerabilidad: CWE-23: Relative Path Traversal.
Setelsa Security ha liberado la versión 3.8.2.3, la cual resuelve la vulnerabilidad reportada.
CVE-2023-3512: vulnerabilidad de limitación incorrecta de una ruta a un directorio restringido (Path Traversal) en ConacWin CB de Setelsa Security, cuya explotación podría permitir a un atacante realizar una descarga arbitraria de archivos del sistema a través del parámetro "Download file".