PT-2021-9620 · Unknown · Dream Report 5
Publicado
2021-04-09
·
Atualizado
2022-07-30
·
CVE-2020-13534
CVSS v3.1
9.3
Crítica
| Vetor | AV:L/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Dream Report 5 versão 5 R20-2
Descrição
Existe uma vulnerabilidade de escalonamento de privilégios devido a restrições de segurança insuficientes nos Identificadores de Classe COM (CLSID) instalados pelo software. Esses CLSID fazem referência a LocalServer32 e InprocServer32, o que pode levar ao escalonamento de privilégios quando utilizados. Um invasor pode desencadear essa vulnerabilidade fornecendo um arquivo malicioso.
Recomendações
Para o Dream Report 5 versão 5 R20-2, considere restringir o acesso aos CLSID que fazem referência a LocalServer32 e InprocServer32 para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Exploit
Incorrect Default Permissions
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Dream Report 5