PT-2020-14666 · Activefax · Actfax
Publicado
2020-09-24
·
Atualizado
2020-10-09
·
CVE-2020-15843
CVSS v3.1
7.3
Alta
| Vetor | AV:L/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
ActFax versão 7.10 Build 0335
Descrição
O problema decorre de permissões de pasta inseguras em determinados diretórios, concedendo “Controle total” a “Todos”. Isso pode ser explorado por um invasor local autenticado para substituir o binário TSClientB.exe, que é executado no logon de todos os usuários, ou para substituir binários em outros diretórios, o que pode exigir interação adicional do usuário.
Recomendações
Para o ActFax versão 7.10 Build 0335, considere restringir as permissões de pasta nos diretórios %PROGRAMFILES%ActiveFaxClient, %PROGRAMFILES%ActiveFaxInstall e %PROGRAMFILES%ActiveFaxTerminal para impedir o acesso não autorizado e a modificação dos binários, como o TSClientB.exe, até que um patch esteja disponível.
Exploit
Correção
Incorrect Default Permissions
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Actfax