| CVSS Puntuación meta temporal | Precio actual del exploit (≈) | Puntuación de interés CTI |
|---|---|---|
| 3.6 | $0-$5k | 0.00 |
Resumen
Una vulnerabilidad clasificada como problemática fue encontrada en Microsoft Visual Studio. Está afectada una función desconocida. Mediante la manipulación de un input desconocido se causa una vulnerabilidad de clase sconosciuta. Esta vulnerabilidad se cataloga como CVE-2023-25815. Ningún exploit está disponible. Se sugiere aplicar un parche para remediar este problema.
Detalles
Una vulnerabilidad ha sido encontrada en Microsoft Visual Studio (Programming Tool Software) y clasificada como problemática. Los efectos exactos de un ataque con éxito no son conocidos. CVE resume:
En Git para Windows, la versión de Git para Windows, no se envían mensajes localizados con el instalador. Como consecuencia, se espera que Git no localice ningún mensaje y omita la inicialización de gettext. Sin embargo, debido a un cambio en los paquetes MINGW, la inicialización implícita de la función `gettext()` ya no usa el prefijo de tiempo de ejecución sino que usa la ruta codificada `C:\mingw64\share\locale` para buscar mensajes localizados. Y dado que cualquier usuario autenticado tiene permiso para crear carpetas en `C:\` (y dado que `C:\mingw64` normalmente no existe), es posible que los usuarios con pocos privilegios coloquen mensajes falsos en esa ubicación donde `git .exe` los recogerá en la versión 2.40.1. Esta vulnerabilidad es relativamente difícil de explotar y requiere ingeniería social. Por ejemplo, un mensaje legítimo al final de un clon podría modificarse maliciosamente para pedirle al usuario que dirija su navegador web a un sitio web malicioso, y el usuario podría pensar que el mensaje proviene de Git y es legítimo. Sin embargo, requiere acceso de escritura local por parte del atacante, lo que hace que este vector de ataque sea menos probable. La versión 2.40.1 contiene un parche para este problema. Algunas soluciones están disponibles. No trabaje en una máquina Windows con cuentas compartidas o, alternativamente, cree una carpeta `C:\mingw64` y déjela vacía. Los usuarios que tienen derechos administrativos pueden eliminar el permiso para crear carpetas en `C:\`.La vulnerabilidad fue publicada el 2023-06-13 con un security guidance (Website) (confirmado). El advisory puede ser descargado de portal.msrc.microsoft.com. La vulnerabilidad es identificada como CVE-2023-25815. No se conoce los detalles técnicos ni hay ningún exploit disponible.
Aplicando un parche es posible eliminar el problema. Una solución posible ha sido publicada inmediatamente después de la publicación de la vulnerabilidad.
If you want to get best quality of vulnerability data, you may have to visit VulDB.
Producto
Escribe
Proveedor
Nombre
Licencia
Sitio web
- Proveedor: https://www.microsoft.com/
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔍VulDB Confiabilidad: 🔍
CVSSv3
VulDB Puntuación meta base: 3.7VulDB Puntuación meta temporal: 3.6
VulDB Puntuación base: 5.5
VulDB Puntuación temporal: 5.3
VulDB Vector: 🔍
VulDB Confiabilidad: 🔍
NVD Puntuación base: 2.2
NVD Vector: 🔍
CNA Puntuación base: 3.3
CNA Vector (GitHub): 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vector | Complejidad | Autenticación | Confidencialidad | Integridad | Disponibilidad |
|---|---|---|---|---|---|
| Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
| Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
| Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
VulDB Puntuación base: 🔍
VulDB Puntuación temporal: 🔍
VulDB Confiabilidad: 🔍
Explotación
Clase: Recorrido de directoriosCWE: CWE-22
CAPEC: 🔍
ATT&CK: 🔍
Físico: En parte
Local: Sí
Remoto: En parte
Disponibilidad: 🔍
Estado: No está definido
EPSS Score: 🔍
EPSS Percentile: 🔍
Predicción de precios: 🔍
Estimación del precio actual: 🔍
| 0-Day | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
|---|---|---|---|---|
| Hoy | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
Inteligencia de amenazas
Interés: 🔍Actores activos: 🔍
Grupos APT activos: 🔍
Contramedidas
Recomendación: ParcheEstado: 🔍
Tiempo de reacción: 🔍
Hora de 0 días: 🔍
Tiempo de exposición: 🔍
Actualización: github.com
Parche: github.com
Línea de tiempo
2023-02-15 🔍2023-06-13 🔍
2023-06-13 🔍
2023-06-13 🔍
2025-11-06 🔍
Fuentes
Proveedor: microsoft.comAviso: GHSA-9w66-8mq8-5vm8
Estado: Confirmado
CVE: CVE-2023-25815 (🔍)
GCVE (CVE): GCVE-0-2023-25815
GCVE (VulDB): GCVE-100-231378
Artículo
Fecha de creación: 2023-06-13 19:51Actualizado: 2025-11-06 01:37
Cambios: 2023-06-13 19:51 (12), 2023-06-13 19:54 (4), 2023-06-13 19:55 (25), 2023-07-12 09:08 (5), 2023-07-12 09:09 (22), 2023-07-12 09:11 (1), 2024-06-26 14:59 (15), 2025-11-06 01:37 (2)
Completo: 🔍
Cache ID: 216::103
If you want to get best quality of vulnerability data, you may have to visit VulDB.
Sin comentarios aún. Idiomas: es + pt + en.
Por favor, inicie sesión para comentar.