Plateforme
other
Composant
arc
Corrigé dans
1.6.0
La vulnérabilité CVE-2023-5938 est une faille de type Path Traversal affectant Arc, un logiciel dont la version est comprise entre 0 et 1.6.0. Cette faille permet à un attaquant de manipuler les chemins d'accès aux fichiers lors de l'extraction d'archives, ouvrant la voie à l'écriture de fichiers arbitraires sur le système. La mise à jour vers la version 1.6.0 corrige cette vulnérabilité.
Cette vulnérabilité de Path Traversal dans Arc permet à un attaquant, disposant de la capacité de fournir des archives modifiées, de contourner les contrôles de sécurité et d'extraire des fichiers vers des emplacements non autorisés sur le système de fichiers. En écrasant des fichiers critiques, un attaquant pourrait potentiellement exécuter des commandes arbitraires sur la machine cible, compromettant ainsi la confidentialité, l'intégrité et la disponibilité du système. Le risque est particulièrement élevé si Arc est utilisé dans un environnement où des fichiers sensibles sont stockés ou traités.
Il n'y a pas d'informations disponibles concernant l'exploitation active de CVE-2023-5938. La vulnérabilité a été publiée le 15 mai 2024. Aucune entrée n'est visible dans le KEV de CISA à ce jour. Des preuves de concept publiques sont susceptibles d'émerger, augmentant le risque d'exploitation.
Organizations and individuals using Arc for file archiving, particularly those who allow users to upload archives or process archives from untrusted sources, are at risk. Systems with legacy Arc installations or those lacking robust file access controls are especially vulnerable.
disclosure
Statut de l'Exploit
EPSS
0.45% (percentile 64%)
CISA SSVC
Vecteur CVSS
La mitigation principale contre CVE-2023-5938 est la mise à jour vers la version 1.6.0 d'Arc, qui corrige la vulnérabilité. En attendant la mise à jour, il est recommandé de limiter l'accès aux fonctionnalités d'extraction d'archives aux utilisateurs autorisés et de mettre en œuvre des contrôles de validation rigoureux sur les fichiers d'archive entrants. Si la mise à jour n'est pas immédiatement possible, envisagez de désactiver temporairement la fonctionnalité d'extraction d'archives ou de configurer des restrictions de chemin d'accès pour limiter l'impact potentiel d'une exploitation. Après la mise à jour, vérifiez que l'extraction d'archives ne permet plus l'écriture de fichiers en dehors du répertoire prévu.
Actualice Arc a la versión 1.6.0 o superior. Esta versión corrige la vulnerabilidad de path traversal 'zip slip' al validar correctamente los nombres de archivo dentro de los archivos. Asegúrese de que la actualización se realice en un entorno de prueba antes de aplicarla a producción.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2023-5938 is a Path Traversal vulnerability in Arc versions 0.0 - 1.6.0, allowing attackers to extract files to arbitrary locations via malicious archives.
If you are using Arc versions 0.0 through 1.6.0, you are potentially affected by this vulnerability. Check your Arc version and upgrade if necessary.
Upgrade Arc to version 1.6.0 or later to remediate the vulnerability. If immediate upgrade is not possible, restrict archive processing and implement file access controls.
As of now, there are no publicly known active exploits for CVE-2023-5938, but the potential impact warrants vigilance.
Refer to the official Arc project website or security advisories for the latest information and updates regarding CVE-2023-5938.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.