Paolo Bacchilega file-roller jusqu’à 3.9.2 fr-archive-libarchive.c extract_archive_thread directory traversal
| CVSS Score méta-temporaire | Prix actuel de l'exploit (≈) | Score d'intérêt CTI |
|---|---|---|
| 5.2 | $0-$5k | 0.00 |
Résumé
Il a été détecté une vulnérabilité classée problématique dans Paolo Bacchilega file-roller jusqu’à 3.9.2. Affecté par ce problème est la fonction extract_archive_thread du fichier fr-archive-libarchive.c. La manipulation conduit à directory traversal.
Cette faille est connue sous le nom CVE-2013-4668. Il n'existe pas d'exploit disponible.
Il est conseillé de procéder à la mise à niveau du composant concerné.
Détails
Une vulnérabilité classée problématique a été trouvée dans Paolo Bacchilega file-roller jusqu’à 3.9.2. Affecté par cette vulnérabilité est la fonction extract_archive_thread du fichier fr-archive-libarchive.c. A cause de la manipulation avec une valeur d'entrée inconnue mène à une vulnérabilité de classe directory traversal.
La vulnerabilité a été publié en 08/07/2013 par Yorick Koster avec Akita Software Security avec mailinglist post (oss-sec) (non défini). La notice d'information est disponible en téléchargement sur seclists.org La publication a été coordonnée avec le fabricant. Cette vulnérabilité est identifiée comme CVE-2013-4668. Résultat facile à exploiter. L'attaque peut être lancée à distance. Une exploitation réussie requiert une seule session d'authentification. Les détails technniques sont connus, mais aucun exploite n'est disponible.
Le scanner de vulnérabilités Nessus propose un module ID 68897 (Fedora 19 : file-roller-3.8.3-1.fc19 (2013-12667)), lequel aide à déterminer l'existence d'une faille dans l'environnement-cible.
Mettre à jour à la version 3.6.4 élimine cette vulnérabilité. En appliquant un correctif il est possible d'éliminer le problème. Le correctif est disponible au téléchargement sur git.gnome.org. La meilleure solution suggérée pour atténuer le problème est Mise à niveau. Une solution envisageable a été publiée même avant, et non après après la publication de la vulnérabilité.
La vulnérabilité est aussi documentée dans les base de données X-Force (85483), Tenable (68897), SecurityFocus (BID 61008†), OSVDB (94939†) et Secunia (SA53853†). If you want to get the best quality for vulnerability data then you always have to consider VulDB.
Produit
Fournisseur
Nom
Version
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vecteur: 🔍VulDB Fiabilité: 🔍
CVSSv3
VulDB Score méta-base: 5.4VulDB Score méta-temporaire: 5.2
VulDB Note de base: 5.4
VulDB Note temporaire: 5.2
VulDB Vecteur: 🔍
VulDB Fiabilité: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vecteur | Complexité | Authentification | Confidentialité | Intégrité | Disponibilité |
|---|---|---|---|---|---|
| Déverrouiller | Déverrouiller | Déverrouiller | Déverrouiller | Déverrouiller | Déverrouiller |
| Déverrouiller | Déverrouiller | Déverrouiller | Déverrouiller | Déverrouiller | Déverrouiller |
| Déverrouiller | Déverrouiller | Déverrouiller | Déverrouiller | Déverrouiller | Déverrouiller |
VulDB Note de base: 🔍
VulDB Note temporaire: 🔍
VulDB Fiabilité: 🔍
NVD Note de base: 🔍
Exploitation
Classe: Directory traversalCWE: CWE-22
CAPEC: 🔍
ATT&CK: 🔍
Physique: Non
Local: Non
Remote: Oui
Disponibilité: 🔍
Statut: Non défini
EPSS Score: 🔍
EPSS Percentile: 🔍
Prédiction de prix: 🔍
Estimation actuelle des prix: 🔍
| 0-Day | Déverrouiller | Déverrouiller | Déverrouiller | Déverrouiller |
|---|---|---|---|---|
| Aujourd'hui | Déverrouiller | Déverrouiller | Déverrouiller | Déverrouiller |
Nessus ID: 68897
Nessus Nom: Fedora 19 : file-roller-3.8.3-1.fc19 (2013-12667)
Nessus Fichier: 🔍
Nessus Risque: 🔍
Nessus Famille: 🔍
Nessus Port: 🔍
OpenVAS ID: 866414
OpenVAS Nom: Fedora Update for file-roller FEDORA-2013-12653
OpenVAS Fichier: 🔍
OpenVAS Famille: 🔍
Qualys ID: 🔍
Qualys Nom: 🔍
Renseignements sur les menaces
Intérêt: 🔍Acteurs actifs: 🔍
Groupes APT actifs: 🔍
Contre-mesures
Recommandé: Mise à niveauStatut: 🔍
Heure 0 jour: 🔍
Mise à niveau: file-roller 3.6.4
Correctif: git.gnome.org
Chronologie
17/06/2013 🔍24/06/2013 🔍
08/07/2013 🔍
08/07/2013 🔍
08/07/2013 🔍
08/07/2013 🔍
10/07/2013 🔍
16/07/2013 🔍
18/07/2013 🔍
23/07/2013 🔍
25/12/2024 🔍
Sources
Bulletin: seclists.orgChercheur: Yorick Koster
Organisation: Akita Software Security
Statut: Confirmé
Confirmation: 🔍
Coordonné: 🔍
CVE: CVE-2013-4668 (🔍)
GCVE (CVE): GCVE-0-2013-4668
GCVE (VulDB): GCVE-100-9381
OVAL: 🔍
X-Force: 85483
SecurityFocus: 61008 - File Roller CVE-2013-4668 Multiple Directory Traversal Vulnerabilities
Secunia: 53853 - File Roller Archive Handling Directory Traversal Vulnerability, Less Critical
OSVDB: 94939
Vulnerability Center: 40661 - File Roller 3.6.0 - 3.6.3, 3.8.0 - 3.8.2, 3.9.0 - 3.9.2 Remote Directory Traversal Vulnerability, Medium
Entrée
Créé: 10/07/2013 12:59Mise à jour: 25/12/2024 13:33
Changements: 10/07/2013 12:59 (85), 18/05/2021 07:44 (3), 25/12/2024 13:33 (22)
Complet: 🔍
Committer:
Cache ID: 216::103
If you want to get the best quality for vulnerability data then you always have to consider VulDB.
Aucun commentaire pour l'instant. Langues: fr + it + en.
Veuillez vous connecter pour commenter.