CVE-2023-27326

Versões do Parallels Desktop anteriores à 18.1.1

Esta vulnerabilidade permite que invasores locais obtenham privilégios elevados em instalações afetadas do Parallels Desktop. Para explorar essa vulnerabilidade, o invasor deve primeiro obter a capacidade de executar código com privilégios elevados no sistema convidado alvo. A falha específica existe no componente Toolgate, resultante da falta de validação adequada de um caminho fornecido pelo usuário antes de usá-lo em operações de arquivo. Um invasor pode aproveitar essa vulnerabilidade para escalar privilégios e executar código arbitrário no contexto do usuário atual no sistema host. A vulnerabilidade decorre de um traversal de diretório e do uso incorreto de strings do Qt, resultando em comportamento inesperado.

Para versões do Parallels Desktop anteriores à 18.1.1, atualize para a versão 18.1.1 ou posterior para resolver a vulnerabilidade. Como solução temporária, considere restringir o acesso ao componente Toolgate até que um patch esteja disponível. Evite usar o componente vulnerável nas versões afetadas do Parallels Desktop até que a vulnerabilidade seja resolvida.