PT-2022-17166 · Cybele · Thinfinity Vnc
Oscar Uribe
·
Publicado
2022-05-20
·
Atualizado
2022-06-01
·
CVE-2022-25227
CVSS v3.1
8.8
Alta
| Vetor | AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Thinfinity VNC versão 4.0.0.1
Descrição
A vulnerabilidade permite que um invasor remoto sem privilégios obtenha um
ID que pode ser usado para enviar solicitações WebSocket e conseguir a execução remota de código (RCE), caso consiga induzir um usuário a acessar um site malicioso. Isso se deve a uma vulnerabilidade de Compartilhamento de Recursos entre Origens (CORS).Recomendações
Para o Thinfinity VNC versão 4.0.0.1, como solução temporária, considere restringir o acesso ao endpoint do WebSocket para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Exploit
Origin Validation Error
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Thinfinity Vnc