Vulnerabilidad en unas peticiones HTTP en el procedimiento de actualización en IOBit Advanced System Care, iTop Screen Recorder, iTop VPN , Driver Booster e iTop Screenshot (CVE-2022-24140)
Gravedad CVSS v3.1:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
06/07/2022
Última modificación:
14/07/2022
Descripción
IOBit Advanced System Care versión 15, iTop Screen Recorder versión 2.1, iTop VPN versión 3.2, Driver Booster versión 9 e iTop Screenshot envían peticiones HTTP en su procedimiento de actualización para descargar un archivo de configuración. Después de descargar el archivo de configuración, los productos analizarán la ubicación HTTP de la actualización desde el archivo e intentarán instalar la actualización automáticamente con privilegios de administrador. Un atacante que intercepte esta comunicación puede suministrar al producto un archivo de configuración falso con ubicaciones maliciosas para las actualizaciones, obteniendo así una ejecución de código remota en un endpoint
Impacto
Puntuación base 3.x
6.60
Gravedad 3.x
MEDIA
Puntuación base 2.0
6.00
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:iobit:advanced_system_care:15:*:*:*:free:*:*:* | ||
| cpe:2.3:a:iobit:advanced_system_care:15:*:*:*:pro:*:*:* | ||
| cpe:2.3:a:iobit:driver_booster:9:*:*:*:*:*:*:* | ||
| cpe:2.3:a:iobit:itop_screen_recorder:2.1:*:*:*:*:*:*:* | ||
| cpe:2.3:a:iobit:itop_screenshot:-:*:*:*:*:*:*:* | ||
| cpe:2.3:a:iobit:itop_vpn:3.2:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página