Podatność CVE-2019-11396

Podatność CVE-2019-11396

Publikacja: 2019-08-29

Opis:

An issue was discovered in Avira Free Security Suite 10. The permissive access rights on the SoftwareUpdater folder (files / folders and configuration) are incompatible with the privileged file manipulation performed by the product. Files can be created that can be used by an unprivileged user to obtain SYSTEM privileges. Arbitrary file creation can be achieved by abusing the SwuConfig.json file creation: an unprivileged user can replace these files by pseudo-symbolic links to arbitrary files. When an update occurs, a privileged service creates a file and sets its access rights, offering write access to the Everyone group in any directory.

W naszej bazie, znaleźliśmy następujące noty dla tego CVE:

	Tytuł	Autor	Data
High	Avira Free Security Suite 2019 Software Updater 2.0.6.13175 Improper Access Control	Silton Santos	06.08.2019

Typ:

CWE-264

(Permissions, Privileges, and Access Controls)

CVSS2 => (AV:L/AC:L/Au:N/C:C/I:C/A:C)

Ogólna skala CVSS	Znaczenie	Łatwość wykorzystania
7.2/10	10/10	3.9/10

Wymagany dostęp	Złożoność ataku	Autoryzacja
Lokalny	Niska	Nie wymagana
Wpływ na poufność	Wpływ na integralność	Wpływ na dostępność
Pełny	Pełny	Pełny

Affected software
Avira -> Free security suite
Avira -> Software updater

Referencje:

http://packetstormsecurity.com/files/153868/Avira-Free-Security-Suite-2019-Software-Updater-2.0.6.13175-Improper-Access-Control.html

https://medium.com/sidechannel-br/vulnerabilidade-no-avira-security-suite-pode-levar-%C3%A0-escala%C3%A7%C3%A3o-de-privil%C3%A9gios-no-windows-71964236c077

https://seclists.org/fulldisclosure/2019/Aug/1

Podatność CVE-2019-11396

W naszej bazie, znaleźliśmy następujące noty dla tego CVE:

High

Avira Free Security Suite 2019 Software Updater 2.0.6.13175 Improper Access Control

CWE-264

CVSS2 => (AV:L/AC:L/Au:N/C:C/I:C/A:C)

7.2/10

10/10

3.9/10

Lokalny

Niska

Nie wymagana

Pełny

Pełny

Pełny

Affected software

Referencje: