Vulnerabilidad en WithSecure Elements Endpoint Protection (CVE-2024-4454)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-59
Incorrecta resolución de una ruta antes de aceder a un fichero (Seguimiento de enlaces)
Fecha de publicación:
22/05/2024
Última modificación:
14/08/2025
Descripción
Con enlace de protección de endpoints de Secure Elements tras una vulnerabilidad de escalada de privilegios local. Esta vulnerabilidad permite a atacantes locales escalar privilegios en las instalaciones afectadas de WithSecure Elements Endpoint Protection. Se requiere la interacción del usuario por parte de un administrador para aprovechar esta vulnerabilidad. La falla específica existe en el servicio de alojamiento del complemento WithSecure. Al crear un enlace simbólico, un atacante puede abusar del servicio para crear un archivo. Un atacante puede aprovechar esta vulnerabilidad para escalar privilegios y ejecutar código arbitrario en el contexto de SYSTEM. Era ZDI-CAN-23035.
Impacto
Puntuación base 3.x
7.80
Gravedad 3.x
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:withsecure:client_security:15:*:*:*:*:*:*:* | ||
| cpe:2.3:a:withsecure:elements_endpoint_protection:17:*:*:*:*:*:*:* | ||
| cpe:2.3:a:withsecure:email_and_server_security:15:*:*:*:*:*:*:* | ||
| cpe:2.3:a:withsecure:server_security:15:*:*:*:*:*:*:* | ||
| cpe:2.3:o:microsoft:windows:-:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página