Vulnerabilidad en F-Secure Software Updater (CVE-2017-6466)

Gravedad CVSS v3.1:

ALTA

Tipo:

CWE-20 Validación incorrecta de entrada

Fecha de publicación:

11/03/2017

Última modificación:

20/04/2025

Descripción

F-Secure Software Updater 2.20, tal como se distribuye en varios productos F-Secure, descarga paquetes de instalación sobre http simple y no realiza la validación de integridad del archivo después de la descarga. Atacantes man-in-the-middle pueden reemplazar el archivo con su propio ejecutable que se ejecutará bajo la cuenta SYSTEM. Tenga en cuenta que cuando Software Updater está configurado para instalar actualizaciones automáticamente, comprueba si el archivo descargado está firmado digitalmente de forma predeterminada, pero no comprueba el autor de la firma. Cuando se ejecuta en modo manual (predeterminado), no se realiza ninguna comprobación de firma.

Impacto

Vector 3.x

CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 8.10 ALTA
Vector: CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Alto
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Alto

Puntuación base 3.x

8.10

Gravedad 3.x

ALTA

Vector 2.0

AV:N/AC:M/Au:N/C:C/I:C/A:C CVSS v2.0 Severidad y Métricas:

Puntuación base: 9.30 ALTA
Vector: AV:N/AC:M/Au:N/C:C/I:C/A:C

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Medio
Autenticación (Au): Ninguno
Impacto a la confidencialidad (C): Completo
Impacto a la integridad (I): Completo
Impacto a la disponibilidad (A): Completo