PT-2020-18220 · Microsoft+1 · Windows+3
Hjy79425575
+1
·
Publicado
2020-11-20
·
Atualizado
2020-12-03
·
CVE-2020-4739
CVSS v3.1
7.8
Alta
| Vetor | AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
IBM DB2 Accessories Suite para Linux, UNIX e Windows, DB2 para Linux, UNIX e Windows (inclui o DB2 Connect Server) versões 9.7, 10.1, 10.5, 11.1 e 11.5
Descrição
A vulnerabilidade permite que um invasor local autenticado execute código arbitrário no sistema, causada por uma vulnerabilidade de sequestro da ordem de pesquisa de DLLs no cliente Microsoft Windows. Ao colocar um arquivo especialmente criado em uma pasta comprometida, um invasor poderia explorar essa vulnerabilidade para executar código arbitrário no sistema.
Recomendações
Para as versões 9.7, 10.1, 10.5, 11.1 e 11.5, considere restringir o acesso a pastas comprometidas para minimizar o risco de exploração.
Como solução temporária, considere implementar medidas de segurança adicionais para impedir a colocação de arquivos especialmente criados em diretórios confidenciais.
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Untrusted Search Path
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Db2 Accessories Suite For Linux
Db2 Connect Server
Db2 For Linux
Windows