CVE-2020-5357

Опубликовано: 28 мая 2020

Источник: nvd

CVSS3: 7.1

CVSS3: 6

CVSS2: 2.6

EPSS Низкий

Описание

Dell Dock Firmware Update Utilities for Dell Client Consumer and Commercial docking stations contain an Arbitrary File Overwrite vulnerability. The vulnerability is limited to the Dell Dock Firmware Update Utilities during the time window while being executed by an administrator. During this time window, a locally authenticated low-privileged malicious user could exploit this vulnerability by tricking an administrator into overwriting arbitrary files via a symlink attack. The vulnerability does not affect the actual binary payload that the update utility delivers.

Ссылки

https://www.dell.com/support/article/SLN321564
Vendor Advisory
https://www.dell.com/support/article/SLN321564
Vendor Advisory

Уязвимые конфигурации

Конфигурация 1

Одновременно

cpe:2.3:o:dell:dock_wd15_firmware:*:*:*:*:*:*:*:*

Версия до 1.0.8 (исключая)

cpe:2.3:h:dell:dock_wd15:-:*:*:*:*:*:*:*

Конфигурация 2

Одновременно

cpe:2.3:o:dell:dock_wd19_firmware:*:*:*:*:*:*:*:*

Версия до 1.0.14 (исключая)

cpe:2.3:h:dell:dock_wd19:-:*:*:*:*:*:*:*

Конфигурация 3

Одновременно

cpe:2.3:o:dell:thunderbolt_dock_tb16_firmware:*:*:*:*:*:*:*:*

Версия до 1.0.4 (исключая)

cpe:2.3:h:dell:thunderbolt_dock_tb16:-:*:*:*:*:*:*:*

Конфигурация 4

Одновременно

cpe:2.3:o:dell:precision_dual_usb-c_thunderbolt_dock_-_tb18dc_firmware:*:*:*:*:*:*:*:*

Версия до 1.0.10 (исключая)

cpe:2.3:h:dell:precision_dual_usb-c_thunderbolt_dock_-_tb18dc:-:*:*:*:*:*:*:*

EPSS

Процентиль: 16%

0.0005

Низкий

7.1 High

CVSS3

6 Medium

CVSS3

2.6 Low

CVSS2

Дефекты

CWE-427

Связанные уязвимости

GHSA-mrqc-gmff-v726

github

больше 3 лет назад

EPSS

Процентиль: 16%

0.0005

Низкий

7.1 High

CVSS3

6 Medium

CVSS3

2.6 Low

CVSS2

Дефекты

CWE-427