CVE-2023-5935

When configuring Arc (e.g. during the first setup), a local web interface is provided to ease the configuration process. Such web interface lacks authentication and may thus be abused by a local attacker or malware running on the machine itself. A malicious local user or process, during a window of opportunity when the local web interface is active, may be able to extract sensitive information or change Arc's configuration. This could also lead to arbitrary code execution if a malicious update package is installed.
Configurations

No configuration.

History

28 May 2024, 13:15

Type Values Removed Values Added
Summary
  • (es) Al configurar Arc (por ejemplo, durante la primera configuración), se proporciona una interfaz web local para facilitar el proceso de configuración. Dicha interfaz web carece de autenticación y, por lo tanto, un atacante local o un malware que se ejecuta en la propia máquina pueden abusar de ella. Un usuario o proceso local malicioso, durante una ventana de oportunidad cuando la interfaz web local está activa, puede extraer información confidencial o cambiar la configuración de Arc. Esto también podría provocar la ejecución de código arbitrario si se instala un paquete de actualización malicioso.

15 May 2024, 16:15

Type Values Removed Values Added
New CVE

Information

Published : 2024-05-15 16:15

Updated : 2024-05-28 13:15


NVD link : CVE-2023-5935

Mitre link : CVE-2023-5935

CVE.ORG link : CVE-2023-5935


JSON object : View

Products Affected

No product.

CWE
CWE-306

Missing Authentication for Critical Function