Vulnerabilidad en Bitdefender Total Security (CVE-2017-10950)

Gravedad CVSS v3.1:

ALTA

Tipo:

CWE-415 Doble liberación

Fecha de publicación:

29/08/2017

Última modificación:

20/04/2025

Descripción

Esta vulnerabilidad permite que los atacantes locales ejecuten código arbitrario en instalaciones vulnerables de Bitdefender Total Security 21.0.24.62. En primer lugar, un atacante debe obtener la habilidad para ejecutar código de bajos privilegios en el sistema objetivo para explotar esta vulnerabilidad. Este error en concreto existe al procesar el IOCTL 0x8000E038 en el controlador bdfwfpf. El problema deriva de la falta de validación de la existencia de un objeto previo a la realización de operaciones sobre el objeto. Un atacante podría aprovecharse de esta vulnerabilidad para ejecutar código arbitrario en el contexto de SYSTEM. Anteriormente era ZDI-CAN-4776.

Impacto

Vector 3.x

CVSS:3.0/AV:L/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 7.00 ALTA
Vector: CVSS:3.0/AV:L/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H

Vector de acceso (AV): Local
Complejidad de acceso (AC): Alto
Privilegios Requeridos (PR): Bajo
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Alto

Puntuación base 3.x

7.00

Gravedad 3.x

ALTA

Vector 2.0

AV:L/AC:M/Au:N/C:C/I:C/A:C CVSS v2.0 Severidad y Métricas:

Puntuación base: 6.90 MEDIA
Vector: AV:L/AC:M/Au:N/C:C/I:C/A:C

Vector de acceso (AV): Local
Complejidad de acceso (AC): Medio
Autenticación (Au): Ninguno
Impacto a la confidencialidad (C): Completo
Impacto a la integridad (I): Completo
Impacto a la disponibilidad (A): Completo