BDU:2022-02366

Опубликовано: 15 апр. 2022

Источник: fstec

CVSS3: 8.4

CVSS2: 7.2

EPSS Средний

Описание

Уязвимость библиотеки 7z.dll файлового архиватора 7-Zip связана с переполнением буфера в «куче». Эксплуатация уязвимости может позволить нарушителю повысить свои привилегии

Вендор

Павлов Игорь

Наименование ПО

7-Zip

Версия ПО

до 21.07 включительно (7-Zip)

Тип ПО

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,2)

Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,4)

Возможные меры по устранению уязвимости

Компенсирующие меры:

- удалить файл 7-zip.chm;

- использование антивирусных средств для контроля файлов;

- использование файлов, полученных из доверенных источников;

- установить программе 7-zip права только на чтение и запуск (для всех пользователей).

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Информация об устранении отсутствует

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2022-29072
CVE

EPSS

Процентиль: 95%

0.18873

Средний

8.4 High

CVSS3

7.2 High

CVSS2

Связанные уязвимости

CVE-2022-29072

CVSS3: 7.8

nvd

почти 4 года назад

7-Zip through 21.07 on Windows allows privilege escalation and command execution when a file with the .7z extension is dragged to the Help>Contents area. This is caused by misconfiguration of 7z.dll and a heap overflow. The command runs in a child process under the 7zFM.exe process. NOTE: multiple third parties have reported that no privilege escalation can occur

GHSA-37mw-x654-r2j8