Vulnerabilidad en London Trust Media Private Internet Access VPN Client (CVE-2018-10190)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-269
Gestión de privilegios incorrecta
Fecha de publicación:
17/04/2018
Última modificación:
03/10/2019
Descripción
Una vulnerabilidad en London Trust Media Private Internet Access (PIA) VPN Client v77 para Windows podría permitir que un atacante local no autenticado ejecute archivos con privilegios elevados. Esta vulnerabilidad se debe a una implementación de controles de acceso insuficiente. Las opciones "Changelog" y "Help" disponibles del menú contextual de la bandeja generan una instancia elevada del navegador web por defecto del usuario. Un atacante podría explotar esta vulnerabilidad seleccionando "Run as Administrator" del menú contextual de un archivo ejecutable en el navegador de archivos del navegador web generado por defecto. Esto podría permitir que el atacante ejecute comandos privilegiados en el sistema objetivo.
Impacto
Puntuación base 3.x
7.80
Gravedad 3.x
ALTA
Puntuación base 2.0
7.20
Gravedad 2.0
ALTA
Productos y versiones vulnerables
CPE | Desde | Hasta |
---|---|---|
cpe:2.3:a:londontrustmedia:private_internet_access:77:*:*:*:*:windows:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página