Basque Cyber Security Centre - Zibersegurtasun Euskal Zentroa

Kontrolatu gabeko bilaketa bideko elementuaren ahultasuna Gemalto-ren Sentinel UltraPro-n

Argitalpen data: 2019/03/15

Garrantzia: Ertaina

Kaltetutako baliabideak:

  • Sentinel UltraPro Client Library ux32w.dll, 1.3.0, 1.3.1 y 1.3.2 bertsioak.

Azalpena:

Venustech-eko ADLab ikertzaileak kontrolatu gabeko bilaketa bideko elementu erako ahultasun baten berri eman du. Erasotzaile batek kode edo komando arbitrarioak exekuta litzake.

Konponbidea:

  • Kaltetutako erabiltzaileek ahultasun hori konpontzen duen 1.3.3 bertsiora eguneratu behar dute.

Xehetasuna:

  • Kontrolatu gabeko bilaketa bideko elementu erako ahultasuna baliatuz, erasotzaile batek asmo gaiztoko fitxategi bat karga eta exekuta lezake Sentinel UltraPro-n ux32.dll liburutegitik. Ahultasun horretarako CVE-2019-6534 identifikatzailea erabili da.

Etiketak: Actualización, Vulnerabilidad