Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en London Trust Media Private Internet Access VPN Client (CVE-2018-10190)

Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-269 Gestión de privilegios incorrecta
Fecha de publicación:
17/04/2018
Última modificación:
03/10/2019

Descripción

Una vulnerabilidad en London Trust Media Private Internet Access (PIA) VPN Client v77 para Windows podría permitir que un atacante local no autenticado ejecute archivos con privilegios elevados. Esta vulnerabilidad se debe a una implementación de controles de acceso insuficiente. Las opciones "Changelog" y "Help" disponibles del menú contextual de la bandeja generan una instancia elevada del navegador web por defecto del usuario. Un atacante podría explotar esta vulnerabilidad seleccionando "Run as Administrator" del menú contextual de un archivo ejecutable en el navegador de archivos del navegador web generado por defecto. Esto podría permitir que el atacante ejecute comandos privilegiados en el sistema objetivo.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:londontrustmedia:private_internet_access:77:*:*:*:*:windows:*:*


Referencias a soluciones, herramientas e información