Síntesis
Se han publicado detalles sobre una vulnerabilidad de seguridad, ya solucionada por el proveedor en junio de 2024, presente en el conocido software de archivo y compresión de archivos de código abierto 7-Zip. Esta vulnerabilidad podría ser aprovechada por un atacante remoto para ejecutar código arbitrario en los sistemas afectados.
Notas (actualizado el 10/12/2024): un Proof of Concept (PoC) para explotar la vulnerabilidad está disponible en línea.
Riesgo (actualizado el 12/10/2024)
Impacto estimado de la vulnerabilidad en la comunidad de referencia: GRAVE/ROJA (76,66/100)1.
Tipología
- Remote Code Execution
Productos y versiones afectados
7-Zip, versiones anteriores al 24.07
Acciones de mitigación
Cuando no se proporcionen, se recomienda actualizar los productos vulnerables siguiendo las instrucciones del boletín de seguridad informado en la sección Referencias.
Identificadores únicos de vulnerabilidad
Referencias
https://www.zerodayinitiative.com/advisories/ZDI-24-1532
1Esta estimación se realiza teniendo en cuenta varios parámetros, entre ellos: CVSS, disponibilidad de patch/workaround y PoC, difusión del software/dispositivos afectados en la comunidad de referencia.
