Vulnerabilidad en el manejo de las rutas de directorio en tiempo de ejecución en el mecanismo de carga de archivos DLL en el cliente Cisco Webex Teams para Windows (CVE-2020-3535)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-427
Elemento no controlado en la ruta de búsqueda
Fecha de publicación:
08/10/2020
Última modificación:
07/11/2023
Descripción
Una vulnerabilidad en el mecanismo de carga de archivos DLL específicos en el cliente Cisco Webex Teams para Windows, podría permitir a un atacante local autenticado cargar una biblioteca maliciosa. Para explotar esta vulnerabilidad, el atacante necesita credenciales válidas en el sistema Windows. La vulnerabilidad es debido al manejo incorrecto de las rutas de directorio en tiempo de ejecución. Un atacante podría explotar esta vulnerabilidad mediante la colocación un archivo DLL malicioso en una ubicación específica del sistema de destino. Este archivo se ejecutará cuando se inicie la aplicación vulnerable. Una explotación con éxito podría permitir al atacante ejecutar código arbitrario en el sistema objetivo con los privilegios de otra cuenta user’s
Impacto
Puntuación base 3.x
8.40
Gravedad 3.x
ALTA
Puntuación base 2.0
7.20
Gravedad 2.0
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:cisco:webex_teams:*:*:*:*:*:windows:*:* | 3.0.13464.0 (incluyendo) | 3.0.16040.0 (incluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página