Vulnerabilidad de elemento de ruta de búsqueda no controlada en 4D y 4D server Windows
Fecha de publicación 09/11/2023
Identificador
INCIBE-2023-0487
Importancia
3 - Media
Recursos Afectados
- Los ejecutables 4D.exe y 4D Server.exe, en sus versiones 19 R8 100218, están afectados por esta vulnerabilidad.
Descripción
INCIBE ha coordinado la publicación de una vulnerabilidad que afecta a los ejecutables 4D y 4D server Windows y que ha sido descubierta por Alexander Huaman Jaimes (@zanganox).
A esta vulnerabilidad se le ha asignado el siguiente código, puntuación base CVSS v3.1, vector del CVSS y el tipo de vulnerabilidad CWE:
- CVE-2023-4770: CVSS v3.1: 6.5 | CVSS: AV:L/AC:L/PR:H/UI:R/S:U/C:H/I:H/A:H | CWE-427.
Solución
No hay solución reportada por el momento.
Detalle
- CVE-2023-4770: se ha encontrado una vulnerabilidad de elemento de ruta de búsqueda no controlada en las aplicaciones ejecutables 4D y 4D server Windows, que afecta a la versión 19 R8 100218. Esta vulnerabilidad consiste en un secuestro de DLL, sustituyendo x64 shfolder.dll en la ruta de instalación y provocando una ejecución de código arbitrario.
Listado de referencias
Etiquetas