Dos nuevos avisos de seguridad
Desbordamiento de búfer en Frhed
- Frhed versión 1.6.0.
INCIBE ha coordinado la publicación de una vulnerabilidad que afecta Frhed, un editor de archivos binarios para Windows, que ha sido descubierta por Rafael Pedrero.
A esta vulnerabilidad se le ha asignado el siguiente código, puntuación base CVSS v3.1, vector del CVSS y el tipo de vulnerabilidad CWE:
- CVE-2023-4590: CVSS v3.1: 7.3 | CVSS: AV:L/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H | CWE-119.
No hay una solución reportada por el momento.
- CVE-2023-4590: vulnerabilidad de desbordamiento de búfer en el editor hexadecimal Frhed, que afecta a la versión 1.6.0. Esta vulnerabilidad podría permitir a un atacante ejecutar código arbitrario a través de un argumento de nombre de archivo largo a través de los registros "Structured Exception Handler (SEH)".
Vulnerabilidad de elemento de ruta de búsqueda incontrolada en Plesk
- Plesk Installer, versión 3.27.0.0.
INCIBE ha coordinado la publicación de una vulnerabilidad que afecta al instalador de Plesk en su versión 3.27.0.0, una plataforma de gestión de servidores, que ha sido descubierta por Alexander Huaman Jaimes.
A esta vulnerabilidad se le ha asignado el siguiente código, puntuación base CVSS v3.1, vector del CVSS y el tipo de vulnerabilidad CWE:
- CVE-2023-4931: CVSS v3.1: 6.3 | CVSS: AV:L/AC:H/PR:L/UI:R/S:U/C:H/I:H/A:L | CWE-427.
La vulnerabilidad ha sido corregida en Plesk Installer 3.55.0.
- CVE-2023-4931: vulnerabilidad de elemento de ruta de búsqueda incontrolada en Plesk Installer afecta a la versión 3.27.0.0. Un atacante local podría ejecutar código arbitrario inyectando archivos DLL en la misma carpeta donde está instalada la aplicación, lo que resultaría en un secuestro de DLL en los archivos edputil.dll, samlib.dll, urlmon.dll, sspicli.dll, propsys.dll y profapi.dll.