PT-2024-28722 · Vnote · Vnote
Hijack-Everything
·
Publicado
2024-07-11
·
Atualizado
2024-07-11
·
CVE-2024-39904
CVSS v3.1
8.8
Alta
| Vetor | AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões do VNote anteriores à 3.18.1
Descrição
Existia uma falha de execução de código no VNote, permitindo que um invasor executasse programas arbitrários no sistema da vítima. Isso poderia ser feito usando uma URI maliciosa em uma nota, como
file:///C:/WINDOWS/system32/cmd.exe ou file:///C:/WINDOWS/system32/calc.exe, que faz referência a um arquivo executável local. A vulnerabilidade pode ser explorada através da criação e do compartilhamento de notas especialmente criadas, o que pode levar a novos ataques.Recomendações
Para versões anteriores à 3.18.1, atualize para a versão 3.18.1 para resolver o problema. Como solução temporária, considere evitar o uso de links
file:/// em notas até que a atualização seja aplicada. Restrinja o acesso ao compartilhamento de notas de fontes não confiáveis para minimizar o risco de exploração.Exploit
Correção
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Vnote