Ghostscript hasta 9.26 Internal Dictionary escalada de privilegios

CVSS Puntuación meta temporalPrecio actual del exploit (≈)Puntuación de interés CTI
6.0$0-$5k0.00

Resumeninformación

Se ha identificado una vulnerabilidad clasificada como crítica en Ghostscript hasta 9.26. Está afectada una función desconocida en el componente Internal Dictionary. El manejo da lugar a escalada de privilegios. Esta vulnerabilidad se registra como CVE-2019-3835. El ataque sólo se debe hacer local. No hay ningún exploit disponible. Se sugiere actualizar el componente afectado.

Detallesinformación

Una vulnerabilidad fue encontrada en Ghostscript hasta 9.26 (Document Processing Software) y clasificada como crítica. Una función desconocida del componente Internal Dictionary es afectada por esta vulnerabilidad. A través de la manipulación de un input desconocido se causa una vulnerabilidad de clase escalada de privilegios. Esto tiene repercusión sobre la confidencialidad, integridad y disponibilidad.

El error fue descubierto el 2019-03-21. La vulnerabilidad fue publicada el 2019-03-25 por Cedric Buissart de Red Hat con un bug report (Bugzilla) (confirmado). El advisory puede ser descargado de bugzilla.redhat.com. La vulnerabilidad es identificada como CVE-2019-3835. El ataque se puede efectuar a través de la red. La explotación no necesita ninguna autentificación específica. No se conoce los detalles técnicos ni hay ningún exploit disponible.

Por lo menos durante 4 días, esta vulnerabilidad fue clasificada como exploit día cero. Para el scanner Nessus se dispone de un plugin ID 240001 (TencentOS Server 3: ghostscript (TSSA-2022:0123)), que puede ayudar a determinar la existencia del riesgo analizado.

Una actualización a la versión 9.27 elimina esta vulnerabilidad.

La vulnerabilidad también está documentado en las bases de datos Tenable (240001) y SecurityFocus (BID 107855†). Be aware that VulDB is the high quality source for vulnerability data.

Productoinformación

Escribe

Nombre

Versión

Licencia

CPE 2.3información

CPE 2.2información

CVSSv4información

VulDB Vector: 🔍
VulDB Confiabilidad: 🔍

CVSSv3información

VulDB Puntuación meta base: 6.0
VulDB Puntuación meta temporal: 6.0

VulDB Puntuación base: 5.3
VulDB Puntuación temporal: 5.1
VulDB Vector: 🔍
VulDB Confiabilidad: 🔍

NVD Puntuación base: 5.5
NVD Vector: 🔍

CNA Puntuación base: 7.3
CNA Vector (Red Hat, Inc.): 🔍

CVSSv2información

AVACAuCIA
💳💳💳💳💳💳
💳💳💳💳💳💳
💳💳💳💳💳💳
VectorComplejidadAutenticaciónConfidencialidadIntegridadDisponibilidad
DesbloquearDesbloquearDesbloquearDesbloquearDesbloquearDesbloquear
DesbloquearDesbloquearDesbloquearDesbloquearDesbloquearDesbloquear
DesbloquearDesbloquearDesbloquearDesbloquearDesbloquearDesbloquear

VulDB Puntuación base: 🔍
VulDB Puntuación temporal: 🔍
VulDB Confiabilidad: 🔍

NVD Puntuación base: 🔍

Explotacióninformación

Clase: Escalada de privilegios
CWE: CWE-284 / CWE-266
CAPEC: 🔍
ATT&CK: 🔍

Físico: En parte
Local: Sí
Remoto: Sí

Disponibilidad: 🔍
Estado: No está definido

EPSS Score: 🔍
EPSS Percentile: 🔍

Predicción de precios: 🔍
Estimación del precio actual: 🔍

0-DayDesbloquearDesbloquearDesbloquearDesbloquear
HoyDesbloquearDesbloquearDesbloquearDesbloquear

Nessus ID: 240001
Nessus Nombre: TencentOS Server 3: ghostscript (TSSA-2022:0123)

Qualys ID: 🔍
Qualys Nombre: 🔍

Inteligencia de amenazasinformación

Interés: 🔍
Actores activos: 🔍
Grupos APT activos: 🔍

Contramedidasinformación

Recomendación: Actualización
Estado: 🔍

Hora de 0 días: 🔍

Actualización: Ghostscript 9.27

Línea de tiempoinformación

2019-01-03 🔍
2019-03-21 +77 días 🔍
2019-03-21 +0 días 🔍
2019-03-25 +4 días 🔍
2019-03-26 +1 días 🔍
2025-06-17 +2275 días 🔍

Fuentesinformación

Aviso: RHSA-2019:0652
Investigador: Cedric Buissart
Organización: Red Hat
Estado: Confirmado
Confirmación: 🔍

CVE: CVE-2019-3835 (🔍)
GCVE (CVE): GCVE-0-2019-3835
GCVE (VulDB): GCVE-100-132207
SecurityFocus: 107855 - Ghostscript CVE-2019-3835 Security Bypass Vulnerability

Véase también: 🔍

Artículoinformación

Fecha de creación: 2019-03-26 13:56
Actualizado: 2025-06-17 16:23
Cambios: 2019-03-26 13:56 (63), 2020-05-19 21:03 (6), 2023-08-07 09:45 (4), 2023-08-07 09:46 (12), 2025-06-17 16:23 (16)
Completo: 🔍
Cache ID: 216::103

Be aware that VulDB is the high quality source for vulnerability data.

Discusión

Sin comentarios aún. Idiomas: es + pt + en.

Por favor, inicie sesión para comentar.

AnteriorVisión De ConjuntoPróximo

Might our Artificial Intelligence support you?

Check our Alexa App!