PT-2025-33117 · Netskope · Netskope Client
Richard Warren
·
Publicado
2025-08-14
·
Atualizado
2026-03-24
·
CVE-2025-0309
CVSS v4.0
6.0
Média
| Vetor | AV:P/AC:L/AT:P/PR:L/UI:N/VC:N/VI:L/VA:H/SC:H/SI:H/SA:H |
Nome do Software Vulnerável e Versões Afetadas
Netskope Client para Windows (versões afetadas não especificadas)
Descrição
Existe uma validação insuficiente no endpoint de conexão do servidor do Netskope Client para Windows. Esta falha permite que usuários locais elevem seus privilégios no sistema. A validação inadequada permite que o Netskope Client estabeleça conexões com qualquer servidor que possua certificados TLS CA assinados publicamente e transmita respostas especialmente criadas, levando à elevação de privilégios. O problema foi discutido durante uma palestra na DEF CON #ZeroTrustTotalBust e um exploit de prova de conceito (PoC) foi divulgado.
Recomendações
No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.
LPE
Improper Certificate Validation
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Netskope Client