Vulnerabilidad en la funcionalidad de actualización en el consumidor Malwarebytes Anti-Malware y el consumidor Malwarebytes Anti-Exploit (CVE-2014-4936)
Gravedad CVSS v2.0:
ALTA
Tipo:
CWE-345
Verificación insuficiente de autenticidad de los datos
Fecha de publicación:
16/12/2014
Última modificación:
12/04/2025
Descripción
La funcionalidad de actualización en el consumidor Malwarebytes Anti-Malware (MBAM) anterior a 2.0.3 y el consumidor Malwarebytes Anti-Exploit (MBAE) 1.04.1.1012 y anteriores permiten a atacantes man-in-the-middle ejecutar código arbitrario mediante la falsificación del servidor de actualización y la subida de un ejecutable.
Impacto
Puntuación base 2.0
9.30
Gravedad 2.0
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:malwarebytes:malwarebytes_anti-exploit:*:*:*:*:consumer:*:*:* | 1.04.1.1012 (incluyendo) | |
| cpe:2.3:a:malwarebytes:malwarebytes_anti-malware:*:*:*:*:consumer:*:*:* | 2.02 (incluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://blog.0x3a.com/post/104954032239/cve-2014-4936-malwarebytes-anti-malware-and
- http://packetstormsecurity.com/files/130244/Malwarebytes-Anti-Malware-Anti-Exploit-Update-Remote-Code-Execution.html
- http://blog.0x3a.com/post/104954032239/cve-2014-4936-malwarebytes-anti-malware-and
- http://packetstormsecurity.com/files/130244/Malwarebytes-Anti-Malware-Anti-Exploit-Update-Remote-Code-Execution.html