Vulnerabilidad en el Sistema Operativo Windows (CVE-2022-1467)

Gravedad CVSS v3.1:

CRÍTICA

Tipo:

No Disponible / Otro tipo

Fecha de publicación:

23/05/2022

Última modificación:

07/06/2022

Descripción

El Sistema Operativo Windows puede configurarse para superponer "language bar" sobre cualquier aplicación. Cuando esta funcionalidad del SO está habilitada, la UI de la barra de lenguaje del SO será visible en el navegador junto a las aplicaciones AVEVA InTouch Access Anywhere y Plant SCADA Access Anywhere. Es posible manipular la barra de lenguaje del SO de Windows para lanzar un prompt de comando del SO, resultando en un escape de contexto de la aplicación al SO

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 9.90 CRÍTICA
Vector: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Bajo
Interacción del usuario (UI): Ninguno
Alcance (S): Modificado
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Alto

Puntuación base 3.x

9.90

Gravedad 3.x

CRÍTICA

Vector 2.0

AV:N/AC:M/Au:S/C:C/I:C/A:C CVSS v2.0 Severidad y Métricas:

Puntuación base: 8.50 ALTA
Vector: AV:N/AC:M/Au:S/C:C/I:C/A:C

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Medio
Autenticación (Au): Simple
Impacto a la confidencialidad (C): Completo
Impacto a la integridad (I): Completo
Impacto a la disponibilidad (A): Completo