CVE

Vulnerabilidad en manejadores de URI personalizados en TeamViewer Desktop para Windows (CVE-2020-13699)

Severidad:

ALTA

Type:

No Disponible / Otro tipo

Fecha de publicación:

29/07/2020

Última modificación:

21/07/2021

Descripción

TeamViewer Desktop para Windows versiones anteriores a 15.8.3 no cita apropiadamente sus manejadores de URI personalizados. Un sitio web malicioso podría iniciar TeamViewer con parámetros arbitrarios, como es demostrado por un teamviewer10: --play URL. Un atacante podría forzar a una víctima para enviar una petición de autenticación NTLM y retransmitir la petición o capturar el hash para descifrar la contraseña fuera de línea. Esto afecta a teamviewer10, teamviewer8, teamviewerapi, tvchat1, tvcontrol1, tvfiletransfer1, tvjoinv8, tvpresent1, tvsendfile1, tvsqcustomer1, tvsqsupport1, tvvideocall1 y tvvpn1. El problema se corrigió en las versiones 8.0.258861, 9.0.258860, 10.0.258873, 11.0.258870, 12.0.258869, 13.2.36220, 14.2.56676, 14.7.48350 y 15.8.3

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 8.80 ALTA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Obligatorio
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Alto

Puntuación base 3.x

8.80

Severidad 3.x

ALTA

Vector 2.0

AV:N/AC:M/Au:N/C:P/I:P/A:P CVSS v2.0 Severidad y Métricas:

Puntuación base: 6.80 MEDIA
Vector: AV:N/AC:M/Au:N/C:P/I:P/A:P

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Medio
Autenticación (Au): Ninguno
Impacto a la confidencialidad (C): Físico
Impacto a la integridad (I): Físico
Impacto a la disponibilidad (A): Físico