PT-2020-6482 · Tigervnc+7 · Tigervnc+7

Andreas Stieger

·

Publicado

2020-09-27

·

Atualizado

2025-09-15

·

CVE-2020-26117

CVSS v3.1

8.1

Alta

VetorAV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:N
Nome do software vulnerável e versões afetadas
Versões do TigerVNC anteriores à 1.11.0
Descrição
O problema está relacionado ao tratamento incorreto de exceções de certificados TLS no TigerVNC. Os visualizadores armazenam os certificados como autoridades, permitindo que o proprietário de um certificado se faça passar por qualquer servidor após um cliente ter adicionado uma exceção. Isso poderia permitir que um invasor remoto acessasse e comprometesse dados confidenciais.
Recomendações
Para versões do TigerVNC anteriores à 1.11.0, atualize para a versão 1.11.0 ou posterior para resolver o problema. Como solução temporária, considere desativar o uso de exceções de certificado TLS no visualizador até que um patch esteja disponível. Restrinja o acesso a dados confidenciais e servidores para minimizar o risco de exploração.

Correção

Improper Certificate Validation

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-295

Identificadores relacionados

ALT-PU-2020-3339
ALT-PU-2020-3345
ALT-PU-2021-1185
ALT-PU-2021-2469
ALT-PU-2024-1936
ALT-PU-2024-3843
ALT-PU-2025-11601
BDU:2021-05229
CESA-2021_1783
CVE-2020-26117
DLA-2396-1
MGASA-2020-0388
OPENSUSE-SU-2020:1666-1
OPENSUSE-SU-2020:1841-1
OPENSUSE-SU-2020_1666-1
OPENSUSE-SU-2020_1841-1
OPENSUSE-SU-2024:10591-1
RHSA-2021:1783
RHSA-2021_1783
RLSA-2021:1783
SUSE-SU-2020:2880-1
SUSE-SU-2020:2881-1
SUSE-SU-2020:2882-1
SUSE-SU-2020:2898-1
SUSE-SU-2020_2880-1
SUSE-SU-2020_2881-1
SUSE-SU-2020_2882-1
SUSE-SU-2020_2898-1
USN-5965-1

Produtos afetados

Alt Linux
Centos
Linuxmint
Red Hat
Rocky Linux
Suse
Tigervnc
Ubuntu