A security vulnerability has been detected in OSPG binwalk up to 2.4.3. This vulnerability affects the function read_null_terminated_string of the file src/binwalk/plugins/winceextract.py of the component WinCE Extraction Plugin. Such manipulation of the argument self.file_name leads to path traversal. The attack can only be performed from a local environment. The exploit has been disclosed publicly and may be used. The project maintainer confirms this issue: "I accept the existence of the Path Traversal vulnerability. However, as stated in the Github link, it reached EOL and as a result no actions should be expected." The GitHub repository mentions, that "[u]sers and contributors should migrate to binwalk v3." This vulnerability only affects products that are no longer supported by the maintainer.
A path traversal vulnerability exists in binwalk versions up to 2.4.3 within the WinCE Extraction Plugin that allows local attackers to manipulate file paths. The affected software has reached end-of-life status with no further security updates planned.
تؤثر هذه الثغرة على مكون استخراج WinCE في binwalk حيث يمكن للمهاجمين المحليين استخدام معالجة اسم الملف للوصول إلى ملفات خارج المجلد المقصود. البرنامج وصل إلى نهاية دورة حياته والمطورون يوصون بالترقية إلى الإصدار الثالث.
ثغرة اجتياز المسار موجودة في إصدارات binwalk حتى 2.4.3 في مكون استخراج WinCE تسمح للمهاجمين المحليين بمعالجة مسارات الملفات. البرنامج المتأثر وصل إلى نهاية دورة حياته دون تحديثات أمان إضافية.
Migrate to binwalk v3 or later immediately. If continued use of binwalk 2.4.3 is necessary, restrict local access to the application and implement file system access controls to prevent unauthorized path traversal. Disable WinCE extraction functionality if not required.
قم بالترقية إلى binwalk v3 أو إصدار أحدث فوراً. إذا كان الاستمرار في استخدام binwalk 2.4.3 ضرورياً، قيد الوصول المحلي للتطبيق وطبق عناصر تحكم الوصول إلى نظام الملفات لمنع اجتياز المسار غير المصرح به. عطل وظيفة استخراج WinCE إذا لم تكن مطلوبة.