Introducción
Werley Ferreira, Anderson Cezar y João Luz han notificado una vulnerabilidad de severidad crítica que podría permitir a un atacante manipular una ruta de argumento, lo que conduciría a la divulgación de información.[1]
Análisis
La vulnerabilidad encontrada es la siguiente:
- CVE-2023-3643 – Condición de carrera (CWE-362):
Se ha encontrado una vulnerabilidad en Boss Mini v1.4.0 Build 6221. Esta vulnerabilidad afecta a una parte desconocida del archivo “/boss/servlet/document” en la cual un atacante en el mismo segmento de red podría manipular la ruta del argumento, pudiendo llegar a la inclusión de archivos locales con el fin de acceder a archivos del sistema sin autorización. El ataque se podría realizar de forma remota. Además el exploit se ha revelado y es público.
- La serie de productos afectados es:
- Boss-Mini: versión 1.4.0 (Build 6221).
Recomendaciones
Actualizar Boss-Mini a las versiones 1.6.0 o superiores.
Referencias