Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en El uso inseguro de la deserialización de .NET (CVE-2019-19470)

Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-502 Deserialización de datos no confiables
Fecha de publicación:
30/12/2019
Última modificación:
01/01/2022

Descripción

El uso inseguro de la deserialización de .NET en el procesamiento de mensajes de Named Pipe permite la escalada de privilegios a NT AUTHORITY \ SYSTEM para un atacante local. El producto afectado es TinyWall, todas las versiones hasta la versión 2.1.12 inclusive. Corregido en la versión 2.1.13.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:tinywall:tinywall:*:*:*:*:*:*:*:* 2.1.13 (excluyendo)