PT-2021-3450 · Trend Micro · Trend Micro Housecall For Home Networks
Xavier Danest
·
Publicado
2021-04-22
·
Atualizado
2021-05-21
·
CVE-2021-28649
CVSS v3.1
7.3
Alta
| Vetor | AV:L/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Trend Micro HouseCall for Home Networks, versões 5.3.1179 e anteriores
Descrição
O problema está relacionado à atribuição incorreta de permissões, o que poderia permitir que um invasor aumentasse seus privilégios. Isso pode ser feito colocando-se código arbitrário em uma pasta específica e fazendo com que esse código seja executado por um administrador que esteja realizando uma verificação. O invasor deve primeiro obter a capacidade de executar código com privilégios baixos no sistema de destino para explorar essa vulnerabilidade.
Recomendações
Para as versões 5.3.1179 e anteriores, atualize para uma versão superior à 5.3.1179 para resolver o problema.
Como solução alternativa temporária, considere restringir o acesso à pasta especificada onde código arbitrário pode ser colocado para minimizar o risco de exploração.
Correção
Incorrect Default Permissions
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Trend Micro Housecall For Home Networks