Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad de elemento de ruta de búsqueda no controlada en 4D y 4D server Windows

Fecha de publicación 09/11/2023
Identificador
INCIBE-2023-0487
Importancia
3 - Media
Recursos Afectados
  • Los ejecutables 4D.exe y 4D Server.exe, en sus versiones 19 R8 100218, están afectados por esta vulnerabilidad.
Descripción

INCIBE ha coordinado la publicación de una vulnerabilidad que afecta a los ejecutables 4D y 4D server Windows y que ha sido descubierta por Alexander Huaman Jaimes (@zanganox).

A esta vulnerabilidad se le ha asignado el siguiente código, puntuación base CVSS v3.1, vector del CVSS y el tipo de vulnerabilidad CWE:

  • CVE-2023-4770: CVSS v3.1: 6.5 | CVSS: AV:L/AC:L/PR:H/UI:R/S:U/C:H/I:H/A:H | CWE-427.
Solución

No hay solución reportada por el momento.

Detalle
  • CVE-2023-4770: se ha encontrado una vulnerabilidad de elemento de ruta de búsqueda no controlada en las aplicaciones ejecutables 4D y 4D server Windows, que afecta a la versión 19 R8 100218. Esta vulnerabilidad consiste en un secuestro de DLL, sustituyendo x64 shfolder.dll en la ruta de instalación y provocando una ejecución de código arbitrario.
Listado de referencias
Etiquetas