Vulnerabilidad en los puntos de contacto durante la instalación en Eclipse p2 (CVE-2021-41037)

Gravedad CVSS v3.1:

ALTA

Tipo:

No Disponible / Otro tipo

Fecha de publicación:

08/07/2022

Última modificación:

12/07/2024

Descripción

En Eclipse p2, las unidades instalables son capaces de alterar la instalación de la plataforma Eclipse y la máquina local por medio de puntos de contacto durante la instalación. Esos puntos de contacto pueden, por ejemplo, alterar la línea de comandos usada para iniciar la aplicación, inyectando cosas como el agente u otras configuraciones que suelen requerir especial atención en términos de seguridad. Aunque p2 presenta estrategias incorporadas para asegurar que los artefactos estén firmados y así ayudar a establecer confianza, no se presenta ninguna estrategia de este tipo para la parte de los metadatos que configuran dichos puntos de contacto. Como resultado, es posible instalar una unidad que ejecutará código malicioso durante la instalación sin que el usuario reciba ninguna advertencia sobre que este paso de instalación es arriesgado cuando proviene de una fuente no confiable

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 8.00 ALTA
Vector: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Bajo
Interacción del usuario (UI): Obligatorio
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Alto

Puntuación base 3.x

8.00

Gravedad 3.x

ALTA

Vector 2.0

AV:N/AC:M/Au:N/C:P/I:P/A:P CVSS v2.0 Severidad y Métricas:

Puntuación base: 6.80 MEDIA
Vector: AV:N/AC:M/Au:N/C:P/I:P/A:P

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Medio
Autenticación (Au): Ninguno
Impacto a la confidencialidad (C): Físico
Impacto a la integridad (I): Físico
Impacto a la disponibilidad (A): Físico