BDU:2024-04606

Опубликовано: 06 фев. 2024

Источник: fstec

CVSS3: 8.2

CVSS2: 6.8

EPSS Низкий

Описание

Уязвимость набора инструментов создания установочных пакетов WiX Toolset операционной системы Windows связана с использованием ненадёжного пути поиска. Эксплуатация уязвимости может позволить нарушителю повысить свои привилегии через папку by.termp

Вендор

Firegiant

Наименование ПО

Wix Toolset

Версия ПО

до 3.14.0 (Wix Toolset)

от 4.0.0 до 4.0.4 (Wix Toolset)

Тип ПО

ПО виртуализации/ПО виртуального программно-аппаратного средства

Операционные системы и аппаратные платформы

Microsoft Corp Windows -

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,8)

Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,2)

Возможные меры по устранению уязвимости

Использование рекомендаций:

https://github.com/wixtoolset/issues/security/advisories/GHSA-7wh2-wxc7-9ph5

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2024-24810
CVE

EPSS

Процентиль: 15%

0.00049

Низкий

8.2 High

CVSS3

6.8 Medium

CVSS2

Связанные уязвимости

CVE-2024-24810

CVSS3: 8.2

nvd

около 2 лет назад

WiX toolset lets developers create installers for Windows Installer, the Windows installation engine. The .be TEMP folder is vulnerable to DLL redirection attacks that allow the attacker to escalate privileges. This impacts any installer built with the WiX installer framework. This issue has been patched in version 4.0.4.

GHSA-7wh2-wxc7-9ph5

CVSS3: 8.2

github

почти 2 года назад

WiX Toolset's .be TEMP folder is vulnerable to DLL redirection attacks that allow the attacker to escalate privileges

EPSS

Процентиль: 15%

0.00049

Низкий

8.2 High

CVSS3

6.8 Medium

CVSS2