Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Múltiples vulnerabilidades en WinHex

Fecha de publicación 28/11/2023
Identificador
INCIBE-2023-0524
Importancia
4 - Alta
Recursos Afectados
  • WinHex 16.1 SR-1;
  • WinHex 20.4.

Descripción

INCIBE ha coordinado la publicación de 2 vulnerabilidades que afectan a distintas versiones de WinHex, un editor hexadecimal universal, las cuales han sido descubiertas por Rafael Pedrero.

A ambas vulnerabilidades se les ha asignado la siguiente puntuación base CVSS v3.1, vector CVSS y tipo de vulnerabilidad CWE:

CVE-2023-6361 y CVE-2023-6362: CVSS v3.1: 7.3 | CVSS: AV:L/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H | CWE-119.

Solución

Las vulnerabilidades han sido reportadas en la versión v20.8 SR-4.

Detalle
  • CVE-2023-6361 y CVE-2023-6362: se ha descubierto una vulnerabilidad en Winhex que afecta a la versión 16.1 SR-1 y 20.4. Esta vulnerabilidad consiste en un desbordamiento de búfer que controla los registros del controlador de excepciones estructurado (SEH). Esto podría permitir a los atacantes ejecutar código arbitrario mediante un argumento de nombre de archivo largo.
Listado de referencias