Introducció
Werley Ferreira, Anderson Cezar i João Luz han notificat una vulnerabilitat de severitat crítica que podria permetre a un atacant manipular una ruta d’argument, la qual cosa conduiria a la divulgació d’informació.[1]
Anàlisi
La vulnerabilitat trobada és la següent:
- CVE-2023-3643 – Condició de carrera (CWE-362):
S’ha trobat una vulnerabilitat en Boss Mini v1.4.0 Build 6221. Esta vulnerabilitat afecta a una part desconeguda de l’arxiu “/boss/servlet/document” en la qual un atacant en el mateix segment de xarxa podria manipular la ruta de l’argument, podent arribar a la inclusió d’arxius locals amb la finalitat d’accedir a arxius del sistema sense autorització. L’atac es podria realitzar de manera remota. A més el exploit s’ha revelat i és públic.
- La sèrie de productes afectats és:
- Boss-Mini: versión 1.4.0 (Build 6221).
Recomanacions
Actualitzar Boss-Mini a les versions 1.6.0 o superiors.
Referències