PT-2021-14179 · Fujitsu · Software Download Installer+1
Yuji Tounai
·
Publicado
2021-05-24
·
Atualizado
2022-05-03
·
CVE-2021-20722
CVSS v3.1
7.8
Alta
| Vetor | AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
**Nome do software vulnerável e versões afetadas:
Versões do ScanSnap Manager anteriores à V7.0L20
Versões do instalador de download de software anteriores ao WinSSInst2JP.exe e ao WinSSInst2iX1500JP.exe
Descrição:
A vulnerabilidade permite que um invasor obtenha privilégios e execute código arbitrário com os privilégios do usuário que invoca o instalador por meio de uma DLL de cavalo de Tróia em um diretório não especificado. Isso se deve a uma vulnerabilidade no caminho de pesquisa não confiável nos instaladores.
Recomendações:
Para versões do ScanSnap Manager anteriores à V7.0L20, atualize para a versão V7.0L20 ou posterior para resolver o problema.
Para versões do instalador de download de software anteriores ao WinSSInst2JP.exe e ao WinSSInst2iX1500JP.exe, atualize para o WinSSInst2JP.exe e o WinSSInst2iX1500JP.exe ou versões posteriores para resolver o problema.
Como solução alternativa temporária, considere restringir o acesso ao instalador para minimizar o risco de exploração.
Correção
Uncontrolled Search Path Element
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Scansnap Manager
Software Download Installer