Vulnerabilidad en la instrucción OUT en el manejo de las peticiones de escritura I/O en el controlador IOBit Advanced SystemCare Ultimate (CVE-2021-21789)
Gravedad CVSS v3.1:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
07/07/2021
Última modificación:
29/07/2022
Descripción
Se presenta una vulnerabilidad de escalada de privilegios en la forma en que el controlador IOBit Advanced SystemCare Ultimate versión 14.2.0.220, maneja las peticiones de escritura de I/O con privilegios. Durante IOCTL 0x9c40a0e0, la primera dword pasada en el búfer de entrada es el puerto del dispositivo en el que se va a escribir y la dword en el offset 4 es el valor que se va a escribir por medio de la instrucción OUT.. Un atacante local puede enviar un IRP malicioso para activar esta vulnerabilidad
Impacto
Puntuación base 3.x
8.80
Gravedad 3.x
ALTA
Puntuación base 2.0
4.60
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
CPE | Desde | Hasta |
---|---|---|
cpe:2.3:a:iobit:advanced_systemcare_ultimate:14.2.0.220:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página