Sintesi

Rilasciati dettagli in merito a 2 vulnerabilità di sicurezza – già sanate dal vendor a gennaio 2024 – presenti nel noto software di compressione e archiviazione file open source 7-Zip. Tali vulnerabilità potrebbero essere sfruttate per eseguire codice arbitrario o per la divulgazione di informazioni sensibili.

• Arbitrary Code Execution
• Information Disclosure

Prodotti e versioni affette

7-Zip, versioni precedenti alla 24.01

Azioni di mitigazione

Ove non provveduto, in linea con le dichiarazioni del vendor, si raccomanda di aggiornare i prodotti vulnerabili seguendo le indicazioni del bollettino di sicurezza riportato nella sezione Riferimenti.

Identificatori univoci vulnerabilità

CVE-2023-52168

CVE-2023-52169

Riferimenti

https://seclists.org/oss-sec/2024/q3/24

https://www.7-zip.org/

¹La presente stima è effettuata tenendo conto di diversi parametri, tra i quali: CVSS, disponibilità di patch/workaround e PoC, diffusione dei software/dispositivi interessati nella comunità di riferimento.