PT-2022-18502 · .Net · Safety Designer
Publicado
2022-07-19
·
Atualizado
2022-07-27
·
CVE-2022-27580
CVSS v3.1
7.8
Alta
| Vetor | AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões do Safety Designer até a 1.11.0, inclusive
Descrição
Uma vulnerabilidade de deserialização em uma classe do .NET Framework utilizada pelo Safety Designer permite que um invasor crie arquivos de projeto maliciosos. Quando um arquivo de projeto malicioso desse tipo é aberto ou importado, ele pode executar código arbitrário com os privilégios do usuário atual, comprometendo a confidencialidade, a integridade e a disponibilidade. O ataque requer que um usuário abra manualmente um arquivo de projeto malicioso.
Recomendações
Para versões até e incluindo a 1.11.0, atualize para uma versão posterior à 1.11.0 para resolver o problema. Como solução alternativa temporária, considere evitar o uso de arquivos de projeto de fontes não confiáveis para minimizar o risco de exploração.
Correção
Deserialization of Untrusted Data
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Safety Designer