CVE-2024-6240

Опубликовано: 21 июн. 2024

Источник: nvd

CVSS3: 7.7

CVSS3: 10

EPSS Низкий

Уязвимость некорректного управления привилегиями в Parallels Desktop, позволяющая повысить права на системе через переменную окружения "BASH_ENV"

Описание

В Parallels Desktop обнаружена уязвимость, связанная с некорректным управлением привилегиями. Злоумышленник может добавить вредоносный код в скрипт и указать путь к этому скрипту в переменной окружения BASH_ENV. При запуске приложения скрипт выполняется, что позволяет злоумышленнику эксплуатировать данную уязвимость для повышения привилегий на системе.

Затронутые версии ПО

Parallels Desktop версии ранее 19.3.0

Тип уязвимости

Внедрение вредоносного кода
Повышение привилегий

Ссылки

https://www.incibe.es/en/incibe-cert/notices/aviso/improper-privilege-management-vulnerability-parallels-desktop
Third Party Advisory
https://www.incibe.es/en/incibe-cert/notices/aviso/improper-privilege-management-vulnerability-parallels-desktop
Third Party Advisory

Уязвимые конфигурации

Конфигурация 1

cpe:2.3:a:parallels:parallels_desktop:*:*:*:*:*:macos:*:*

Версия до 19.3.0 (исключая)

EPSS

Процентиль: 33%

0.00133

Низкий

7.7 High

CVSS3

10 Critical

CVSS3

Дефекты

CWE-269

Связанные уязвимости

GHSA-x5f6-gmwc-2843

CVSS3: 7.7

github

больше 1 года назад

Improper privilege management vulnerability in Parallels Desktop Software, which affects versions earlier than 19.3.0. An attacker could add malicious code in a script and populate the BASH_ENV environment variable with the path to the malicious script, executing on application startup. An attacker could exploit this vulnerability to escalate privileges on the system.

EPSS

Процентиль: 33%

0.00133

Низкий

7.7 High

CVSS3

10 Critical

CVSS3

Дефекты

CWE-269