BDU:2022-03900

Опубликовано: 11 фев. 2022

Источник: fstec

CVSS3: 9.6

CVSS2: 8.3

EPSS Средний

Описание

Уязвимость функции проверки обновлений пакета Advanced Updater инструмента для упаковки приложений Caphyon Advanced Installer связана с загрузкой кода без проверки его целостности при обработке двоичного файла CustomDetection с параметром CustomDetectionParameter. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код путем проведения атаки типа «человек посередине»

Вендор

Caphyon Ltd.

Наименование ПО

Advanced Installer

Версия ПО

до 19.3 включительно (Advanced Installer)

Тип ПО

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 8,3)

Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,6)

Возможные меры по устранению уязвимости

Использование рекомендаций:

https://www.advancedinstaller.com/download.html

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2022-27438
CVE

EPSS

Процентиль: 94%

0.12337

Средний

9.6 Critical

CVSS3

8.3 High

CVSS2

Связанные уязвимости

CVE-2022-27438

CVSS3: 8.1

nvd

больше 3 лет назад

Caphyon Ltd Advanced Installer 19.3 and earlier and many products that use the updater from Advanced Installer (Advanced Updater) are affected by a remote code execution vulnerability via the CustomDetection parameter in the update check function. To exploit this vulnerability, a user must start an affected installation to trigger the update check.

GHSA-5xhh-3gjf-pf84