PT-2021-17382 · Parallels · Parallels Desktop
Alisa Esage
+1
·
Publicado
2021-04-15
·
Atualizado
2021-04-26
·
CVE-2021-27278
CVSS v3.1
8.2
Alta
| Vetor | AV:L/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Parallels Desktop versão 16.1.1-49141
Descrição
Esta vulnerabilidade permite que invasores locais elevem privilégios nas instalações afetadas. Para explorar essa vulnerabilidade, o invasor deve primeiro obter a capacidade de executar código com privilégios elevados no sistema convidado alvo. A falha específica existe no componente Toolgate, resultante da falta de validação adequada de um caminho fornecido pelo usuário antes de usá-lo em operações de arquivo. Um invasor pode aproveitar essa vulnerabilidade para elevar privilégios e executar código no contexto do usuário atual no sistema host.
Recomendações
Para o Parallels Desktop versão 16.1.1-49141, considere restringir o acesso ao componente Toolgate para minimizar o risco de exploração até que uma correção esteja disponível. Como solução alternativa temporária, certifique-se de validar adequadamente os caminhos fornecidos pelo usuário antes de usá-los em operações de arquivo. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.
Correção
Path traversal
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Parallels Desktop