Multiples vulnérabilités dans Symantec Endpoint Protection (SEP)
Date de publication :
Plusieurs vulnérabilités ont été corrigées dans les produits Symantec Endpoint Protection (SEP), Symantec Endpoint Protection Manager (SEPM) et Symantec Endpoint Protection Small Business Edition (SEP SBE). Ces vulnérabilités peuvent permettre à un attaquant d’effectuer une élévation de privilèges et une injection de code arbitraire.
CVE-2020-5820, CVE-2020-5822, CVE-2020-5823 [Score CVSS v3 : 7.8] : Une vulnérabilité de type élévation de privilèges a été découverte dans SEP et SEP SBE versions antérieures à la 14.2 RU2 MP1 (14.2.5569.2100). Une élévation de privilèges peut permettre à un attaquant d’accéder à des ressources ou à des droits qui lui seraient normalement prohibés.
CVE-2020-5821 [Score CVSS v3 : 7.8] : Une vulnérabilité de type injection DLL a été découverte dans SEP et SEP SBE versions antérieures à la 14.2 RU2 MP1 (14.2.5569.2100). Une injection DLL peut permettre à un attaquant d’exécuter du code dans l’espace d’adressage d’un autre processus et ainsi influer sur son comportement d’une manière inattendue.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
- Exécution de code
- Elévation de privilèges
Criticité
- Score CVSS v3 : 7.8 au maximum
Existence d’un code d’exploitation
- Aucun code d’exploitation n’est pour l’instant disponible
Composants vulnérables
- Symantec Endpoint Protection versions antérieures à la 14.2 RU2 MP1
- Symantec Endpoint Protection Manager versions antérieures à la 14.2 RU2 MP1
- Symantec Endpoint Protection Small Business Edition versions antérieures à la 14.2 RU2 MP1
CVE
Les CVE listées ici sont celles classées en sévérité «High». Les autres CVE sont disponibles sur cette page.
- CVE-2020-5820
- CVE-2020-5821
- CVE-2020-5822
- CVE-2020-5823
Solutions ou recommandations
Mise en place de correctifs de sécurité
- Mettre SEP, SEP SBE et/ou SEPM vers la version 14.2 RU2 MP1
Solution de contournement
- Aucune solution de contournement n’est disponible