Vulnerabilidad en clientcl_parse.c en el id3 Quake 3 Engine y el Icculus Quake 3 Engine (CVE-2006-3325)

Gravedad CVSS v2.0:

MEDIA

Tipo:

No Disponible / Otro tipo

Fecha de publicación:

30/06/2006

Última modificación:

18/10/2018

Descripción

client/cl_parse.c en el id3 Quake 3 Engine v1.32c y el Icculus Quake 3 Engine (ioquake3) revisión 810 y anteriores que permite a los servidores remotos maliciosos sobrescribir arbitrariamente variables cvars protegidas contra escritura en el cliente, como cl_allowdownload para Automatic Downloading y fs_homepath para la ruta quake3, a través de una cadena de caracteres de nombre cvar y valores enviados desde el servidor. NOTA: esto puede ser combinado con otras vulnerabilidades para sobrescribir ficheros arbitrariamente.

Impacto

Vector 2.0

AV:N/AC:L/Au:N/C:N/I:P/A:N CVSS v2.0 Severidad y Métricas:

Puntuación base: 5.00 MEDIA
Vector: AV:N/AC:L/Au:N/C:N/I:P/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Autenticación (Au): Ninguno
Impacto a la confidencialidad (C): Ninguno
Impacto a la integridad (I): Físico
Impacto a la disponibilidad (A): Ninguno

Puntuación base 2.0

5.00

Gravedad 2.0

MEDIA

Productos y versiones vulnerables

CPE	Desde	Hasta
cpe:2.3:a:id_software:quake_3_engine::::::::
cpe:2.3:a:id_software:quake_3_engine:1.32b:::::::*
cpe:2.3:a:id_software:quake_3_engine:1.32c:::::::*
cpe:2.3:a:id_software:quake_3_engine:icculus_803:::::::*
cpe:2.3:a:id_software:quake_3_engine:icculus_804:::::::*
cpe:2.3:a:id_software:quake_3_engine:icculus_805:::::::*
cpe:2.3:a:id_software:quake_3_engine:icculus_806:::::::*
cpe:2.3:a:id_software:quake_3_engine:icculus_807:::::::*
cpe:2.3:a:id_software:quake_3_engine:icculus_808:::::::*
cpe:2.3:a:id_software:quake_3_engine:icculus_809:::::::*
cpe:2.3:a:id_software:quake_3_engine:icculus_810:::::::*

Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página

CPE	Desde	Hasta
cpe:2.3:a:id_software:quake_3_engine::::::::
cpe:2.3:a:id_software:quake_3_engine:1.32b:::::::*
cpe:2.3:a:id_software:quake_3_engine:1.32c:::::::*
cpe:2.3:a:id_software:quake_3_engine:icculus_803:::::::*
cpe:2.3:a:id_software:quake_3_engine:icculus_804:::::::*
cpe:2.3:a:id_software:quake_3_engine:icculus_805:::::::*
cpe:2.3:a:id_software:quake_3_engine:icculus_806:::::::*
cpe:2.3:a:id_software:quake_3_engine:icculus_807:::::::*
cpe:2.3:a:id_software:quake_3_engine:icculus_808:::::::*
cpe:2.3:a:id_software:quake_3_engine:icculus_809:::::::*
cpe:2.3:a:id_software:quake_3_engine:icculus_810:::::::*

Vulnerabilidad en clientcl_parse.c en el id3 Quake 3 Engine y el Icculus Quake 3 Engine (CVE-2006-3325)

Descripción

Impacto

Productos y versiones vulnerables

Referencias a soluciones, herramientas e información