Actualización crítica en Avira Antivirus
Se ha publicado una vulnerabilidad crítica de ejecución de comando en el producto Avira Antivirus >= 15.0.21.86 que permite ejecutar comandos del sistema operativo. La explotación fue probada con éxito en Windows 7 pero seguramente puede ser explotada en versiones superiores.
Cuando se realiza una actualización manual de Avira y se importa un archivo ZIP, la aplicación no verifica "../" en el nombre del archivo, lo cual permite realizar un "path traversal" y escribir un programa en cualquier ubicación del sistema operativo base.
Se ha publicado una PoC en Python y en el video publicado se vé claramente cómo esto podría ser utilizado.
Avira ya ha lanzado la actualización y se recomienda actualizar a esta última versión.
Fuente: SecList
Cuando se realiza una actualización manual de Avira y se importa un archivo ZIP, la aplicación no verifica "../" en el nombre del archivo, lo cual permite realizar un "path traversal" y escribir un programa en cualquier ubicación del sistema operativo base.
Se ha publicado una PoC en Python y en el video publicado se vé claramente cómo esto podría ser utilizado.
Fuente: SecList
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!