PT-2020-13278 · Anchorfree · Anchorfree Vpn Sdk
Publicado
2020-05-21
·
Atualizado
2020-07-01
·
CVE-2020-12828
CVSS v2.0
10
Crítica
| Vetor | AV:N/AC:L/Au:N/C:C/I:C/A:C |
Nome do software vulnerável e versões afetadas
Versões do AnchorFree VPN SDK anteriores à 1.3.3.218
Descrição
Foi detectada uma falha no AnchorFree VPN SDK em que o serviço do VPN SDK aceita determinados caminhos de arquivos executáveis por meio de um soquete vinculado ao localhost. Ao vincular-se ao soquete e fornecer um caminho onde reside um arquivo executável malicioso, isso leva à execução desse arquivo com privilégios de SYSTEM.
Recomendações
Para versões do AnchorFree VPN SDK anteriores à 1.3.3.218, atualize para a versão 1.3.3.218 ou posterior para resolver o problema. Como solução alternativa temporária, considere restringir o acesso ao soquete vinculado ao localhost para minimizar o risco de exploração.
Exploit
Correção
Unrestricted File Upload
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Anchorfree Vpn Sdk