| Recomendación | 🟠 Parchar esta semana Probabilidad de explotación en 30 días: 86.0% (EPSS). Alto riesgo activo. |
|---|---|
| Severidad | Crítica |
| CVSS | 10.0 (versión 3.1) |
| Probabilidad de explotación (30 días) | 85.97% |
| ¿Explotación activa confirmada? | Sin evidencia confirmada |
Descripción de la vulnerabilidad
Se descubrió código malicioso en los tarballs ascendentes de xz, a partir de la versión 5.6.0. A través de una serie de ofuscaciones complejas, el proceso de compilación de liblzma extrae un archivo de objeto preconstruido de un archivo de prueba disfrazado existente en el código fuente, que luego se utiliza para modificar funciones específicas en el código liblzma. Esto da como resultado una biblioteca liblzma modificada que puede ser utilizada por cualquier software vinculado a esta biblioteca, interceptando y modificando la interacción de datos con esta biblioteca.
Traducción automática desde inglés (fuente: NVD)
Detalles técnicos
| Fecha de publicación | 29/03/2024 |
|---|---|
| Última actualización | 17/06/2026 |
| Vector CVSS | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H |
| Clasificación CWE | CWE-506 |
Referencias técnicas
- https://access.redhat.com/security/cve/CVE-2024-3094
- https://bugzilla.redhat.com/show_bug.cgi?id=2272210
- https://www.openwall.com/lists/oss-security/2024/03/29/4
- https://www.redhat.com/en/blog/urgent-security-alert-fedora-41-and-rawhide-users
- http://www.openwall.com/lists/oss-security/2024/03/29/10
- http://www.openwall.com/lists/oss-security/2024/03/29/12
- http://www.openwall.com/lists/oss-security/2024/03/29/4
- http://www.openwall.com/lists/oss-security/2024/03/29/5