PT-2022-22428 · Parallels · Parallels Access Agent
Reno Robert
·
Publicado
2022-07-01
·
Atualizado
2022-07-27
·
CVE-2022-34901
CVSS v3.1
7.8
Alta
| Vetor | AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Parallels Access Agent versão 6.5.4 (39316)
Descrição
Esta vulnerabilidade permite que invasores locais elevem privilégios nas instalações afetadas. Para explorar essa vulnerabilidade, o invasor deve primeiro obter a capacidade de executar código com privilégios baixos no sistema host de destino. A falha específica existe no Parallels Service, que executa arquivos a partir de um local não seguro. Um invasor pode aproveitar essa vulnerabilidade para elevar privilégios e executar código arbitrário no contexto do root.
Recomendações
Para o Parallels Access Agent versão 6.5.4 (39316), considere restringir o acesso ao Serviço Parallels para minimizar o risco de exploração até que uma correção esteja disponível. Como solução alternativa temporária, desativar a execução de arquivos de locais não seguros pelo Serviço Parallels pode ajudar a mitigar o risco. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.
Correção
Uncontrolled Search Path Element
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Parallels Access Agent