Описание
Уязвимость компонента createinstallmedia гипервизора Parallels Desktop связана с отсутствием проверки подписи. Эксплуатация уязвимости может позволить нарушителю повысить свои привилегии до уровня root с помощью сценария repack_osx_install_app.sh
Вендор
Parallels International GmbH
Наименование ПО
Parallels Desktop
Версия ПО
от 16.0.0 до 19.3.0 включительно (Parallels Desktop)
Тип ПО
Прикладное ПО информационных систем
Операционные системы и аппаратные платформы
Apple Inc. MacOS .
Уровень опасности уязвимости
Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,8)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,3)
Возможные меры по устранению уязвимости
Обновление программного обеспечения до версии 19.3.1 и выше:
https://www.parallels.com/products/desktop/download/
Статус уязвимости
Подтверждена производителем
Наличие эксплойта
Существует в открытом доступе
Информация об устранении
Уязвимость устранена
Идентификаторы других систем описаний уязвимостей
- CVE
EPSS
Процентиль: 60%
0.00395
Низкий
7.3 High
CVSS3
6.8 Medium
CVSS2
Связанные уязвимости
CVSS3: 9.8
nvd
больше 1 года назад
A lack of code signature verification in Parallels Desktop for Mac v19.3.0 and below allows attackers to escalate privileges via a crafted macOS installer, because Parallels Service is setuid root.
CVSS3: 9.8
github
больше 1 года назад
A lack of code signature verification in Parallels Desktop for Mac v19.3.0 and below allows attackers to escalate privileges via a crafted macOS installer, because Parallels Service is setuid root.
EPSS
Процентиль: 60%
0.00395
Низкий
7.3 High
CVSS3
6.8 Medium
CVSS2