PT-2024-32672 · Xz Utils · Xz Utils
Splitline
·
Publicado
2024-10-02
·
Atualizado
2026-03-29
·
CVE-2024-47611
CVSS v4.0
6.3
Média
| Vetor | AV:N/AC:L/AT:P/PR:N/UI:N/VC:L/VI:L/VA:L/SC:N/SI:N/SA:N |
Nome do software vulnerável e versões afetadas
XZ Utils versões 5.6.2 e anteriores
Descrição
O problema diz respeito a uma vulnerabilidade de injeção de argumentos na linha de comando no XZ Utils quando compilado para o Windows nativo. Isso ocorre quando caracteres Unicode em nomes de arquivos são convertidos em caracteres ASCII de aparência semelhante, o que pode alterar o significado da linha de comando e permitir ataques de injeção de argumentos ou de traversal de diretório. O número estimado de dispositivos potencialmente afetados não foi especificado.
Recomendações
Para as versões 5.6.2 e anteriores, atualize para a versão 5.6.3 ou mais recente para resolver o problema. Como solução temporária, considere evitar o uso de caracteres Unicode em nomes de arquivos para ferramentas de linha de comando até que um patch seja aplicado. Restrinja o acesso a diretórios confidenciais para minimizar o risco de ataques de traversal de diretório.
Exploit
Correção
Argument Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Xz Utils