Vulnerabilidad en las Utilidades de Actualización de Firmware de Dell Dock para las estaciones de acoplamiento de Dell Client Consumer and Commercial (CVE-2020-5357)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-427
Elemento no controlado en la ruta de búsqueda
Fecha de publicación:
28/05/2020
Última modificación:
29/05/2020
Descripción
La Utilidades de Actualización de Firmware de Dell Dock para las estaciones de acoplamiento de Dell Client Consumer and Commercial, contiene una vulnerabilidad de Sobrescritura de Archivos Arbitrarios. La vulnerabilidad es limitada a las Utilidades de Actualización de Firmware de Dell Dock durante el intervalo de tiempo mientras es ejecutado por un administrador. Durante este período de tiempo, un usuario malicioso poco privilegiado autenticado localmente podría explotar esta vulnerabilidad al engañar a un administrador para que sobrescriba archivos arbitrarios por medio de un ataque de tipo symlink. La vulnerabilidad no afecta la carga útil binaria real que entrega la utilidad de actualización.
Impacto
Puntuación base 3.x
6.00
Gravedad 3.x
MEDIA
Puntuación base 2.0
2.60
Gravedad 2.0
BAJA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:o:dell:dock_wd15_firmware:*:*:*:*:*:*:*:* | 1.0.8 (excluyendo) | |
| cpe:2.3:h:dell:dock_wd15:-:*:*:*:*:*:*:* | ||
| cpe:2.3:o:dell:dock_wd19_firmware:*:*:*:*:*:*:*:* | 1.0.14 (excluyendo) | |
| cpe:2.3:h:dell:dock_wd19:-:*:*:*:*:*:*:* | ||
| cpe:2.3:o:dell:thunderbolt_dock_tb16_firmware:*:*:*:*:*:*:*:* | 1.0.4 (excluyendo) | |
| cpe:2.3:h:dell:thunderbolt_dock_tb16:-:*:*:*:*:*:*:* | ||
| cpe:2.3:o:dell:precision_dual_usb-c_thunderbolt_dock_-_tb18dc_firmware:*:*:*:*:*:*:*:* | 1.0.10 (excluyendo) | |
| cpe:2.3:h:dell:precision_dual_usb-c_thunderbolt_dock_-_tb18dc:-:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página