| |
Podatność CVE-2022-24138
Publikacja: 2022-07-06
| Opis: |
IOBit Advanced System Care (Asc.exe) 15 and Action Download Center both download components of IOBit suite into ProgramData folder, ProgramData folder has "rwx" permissions for unprivileged users. Low privilege users can use SetOpLock to wait for CreateProcess and switch the genuine component with a malicious executable thus gaining code execution as a high privilege user (Low Privilege -> high integrity ADMIN). |
Typ:
CWE-552 (Files or Directories Accessible to External Parties)
CVSS2 => (AV:L/AC:L/Au:N/C:C/I:C/A:C)
| Ogólna skala CVSS |
Znaczenie |
Łatwość wykorzystania |
7.2/10 |
10/10 |
3.9/10 |
| Wymagany dostęp |
Złożoność ataku |
Autoryzacja |
Lokalny |
Niska |
Nie wymagana |
| Wpływ na poufność |
Wpływ na integralność |
Wpływ na dostępność |
Pełny |
Pełny |
Pełny |
Referencje: |
http://iobit.com
http://advanced.com
https://github.com/tomerpeled92/CVE/
|
|
|
Copyright 2024, cxsecurity.com
|
|
|
Polish
English