CVE-2023-5523: M-Files Web Companion permite la ejecución remota de código

DESCRIPCIÓN:

El fallo de ejecución de contenido descargado en M-Files Web Companion antes de la versión 23.10 y LTS Service Release Versions antes de 23.8 LTS SR1 permite la ejecución remota de código.

PRODUCTOS AFECTADOS:

M-Files Web Companion antes de 23.10

M-Files Web Companion antes de 23.8 LTS SR1

MÁS INFORMACIÓN:

La vulnerabilidad requiere la interacción del usuario para ser explotable.

La vulnerabilidad se ha corregido en la versión 23.10 y en la versión 23.8 SR1 de Long Term Service. Web Companion no se incluyó en la versión 23.2 de Long Term Service, por lo que no está afectada.

La vulnerabilidad está en Web Companion y para mitigarla es necesario actualizar M-Files Server y luego Web Companion. Web Companion no se actualiza automáticamente a los usuarios que lo tienen instalado, necesitan aceptar la actualización sugerirlo cuando abren M-Files Web después de M-Files se actualiza. Si el usuario no tiene Web Companion instalado, la vulnerabilidad no se aplica incluso con M-Files Release anterior a 23.10.

Puntuación base CVSS 3.1: 8,6

Puntuación temporal CVSS 3.1: 7,7

Vector CVSS: CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H/E:P/RL:O/RC:C

CWE: CWE-829 Inclusión de Funcionalidad desde Esfera de Control No Confiable

CAPEC: CAPEC-253 Inclusión remota de código

Identificación interna: 168401

Fecha de emisión: 2023-10-19

Créditos: Anton Keskisaari / Second Nature Security

EXPLOTABILIDAD

Divulgada públicamente: No

Explotado: No

Probabilidad de explotación: baja - notificada responsablemente

ENLACES

https://www.cve.org/CVERecord?id=CVE-2023-5523

HISTORIA

2023-10-20 Publicado