Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Escalada de privilegios en Chocolatey Boxstarter

Fecha de publicación 23/10/2020
Importancia
4 - Alta
Recursos Afectados

Chocolatey Boxstarter, versión 2.12.0 y anteriores.

Descripción

Will Dormann ha reportado al CERT/CC una vulnerabilidad, de severidad alta, que podría permitir a un atacante la escalada de privilegios en Chocolatey Boxstarter.

Solución

Actualizar a la versión 2.13.0.

Detalle

El instalador de Chocolatey Boxstarter falla al establecer una lista de control de acceso seguro (ACL) en el directorio C:\ProgramData\Boxstarter, que se añade a la variable de entorno PATH del sistema. La vulnerabilidad podría permitir a un atacante la escalada de privilegios, ya que cualquier ubicación en la variable de entorno PATH de todo el sistema, puede utilizarse para cargar código que se ejecuta con privilegios. Se ha asignado el identificador CVE-2020-15264 para esta vulnerabilidad.

Encuesta valoración