Vulnérabilité dans Citrix
Date de publication :
CVE-2022-26362[Score CVSS v3.1: 6.4]
Une faille dans Citrix XenServer 7.1 CU2 LTSR rendant possible le passage d'une machine guest vers un machine host permet à un attaquant, grâce à l’envoi d’une requête spécialement forgée, d’obtenir les privilèges les plus élevés.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
- Exécution de code arbitraire
- Déni de service
Criticité
- Score CVSS v3.1: 6.4
La faille est activement exploitée
- Non
Un correctif existe
- Oui
Une mesure de contournement existe
- Non
La vulnérabilité exploitée est du type
CWE-362: Concurrent Execution using Shared Resource with Improper Synchronization ('Race Condition')
Détails sur l’exploitation
- Vecteur d’attaque : Local.
- Complexité de l’attaque : Élevée.
- Privilèges nécessaires pour réaliser l’attaque : Authentification utilisateur à privilège.
- Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Non.
- L’exploitation de la faille permet d’obtenir des droits privilégiés : Oui.
Composants vulnérables
- Citrix XenServer 7.1 CU2 LTS est affecté par cette vulnérabilité.
Solutions ou recommandations
Mettre à jour Citrix XenServer 7.1 CU2 LTSR avec les correctifs suivants : Citrix XenServer 7.1 CU2 LTSR: CTX459953. Des informations complémentaires sont disponibles ici.