Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en Valve Steam Client para Windows (CVE-2019-15316)

Gravedad CVSS v3.1:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
21/08/2019
Última modificación:
24/08/2020

Descripción

Valve Steam Client para Windows hasta 2019-08-20 tiene permisos de carpeta débiles, lo que lleva a la escalada de privilegios (a NT AUTHORITY \ SYSTEM) mediante el uso diseñado de CreateMountPoint.exe y SetOpLock.exe para aprovechar una condición de carrera TOCTOU.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:valvesoftware:steam_client:*:*:*:*:*:*:*:* 2019-08-20 (incluyendo)
cpe:2.3:o:microsoft:windows:-:*:*:*:*:*:*:*