← volver
CVE-2023-41061

CVE-2023-41061

CVSS 7.8 HIGHEPSS 3.2%● KEVCWE-20
Vexday Risk Score
51Atención
Decisión SSVC (CISA)
Act
Explotación + impacto → acción inmediata
CVSS 7.8EPSS 3.2%KEV simPoC Nuclei Metasploit Patch
Ciclo de vida
07 sep 2023Publicada en NVD
11 sep 2023Explotación activa (CISA KEV)
Recomendación: Corregir cuanto antes — hay explotación activa confirmada.
En resumen

Una falla en la validación de adjuntos en dispositivos Apple permite que atacantes ejecuten código malicioso enviando un archivo especialmente diseñado. Esto es peligroso porque puede dar a los atacantes control total de tu dispositivo solo con que recibas el adjunto.

Detalle técnico

Un bypass de validación en el manejo de adjuntos (CWE-20) permite ejecución arbitraria de código cuando se procesa un adjunto especialmente diseñado. La vulnerabilidad afecta iOS, iPadOS y watchOS; la explotación requiere entrega de un adjunto malicioso y ha sido observada en ataques activos. Se corrige en iOS 16.6.1, iPadOS 16.6.1 y watchOS 9.6.2.

Resumen generado y traducido por IA a partir de la descripción oficial.
A validation issue was addressed with improved logic. This issue is fixed in watchOS 9.6.2, iOS 16.6.1 and iPadOS 16.6.1. A maliciously crafted attachment may result in arbitrary code execution. Apple is aware of a report that this issue may have been actively exploited.
CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
Productos afectados
Apple · iOS and iPadOSApple · watchOS

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →
Referencias
http://seclists.org/fulldisclosure/2023/Sep/4http://seclists.org/fulldisclosure/2023/Sep/5https://support.apple.com/en-us/HT213905https://support.apple.com/en-us/HT213907https://support.apple.com/kb/HT213905https://support.apple.com/kb/HT213907https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2023-41061