Vulnérabilité dans Kleopatra

Date de publication : 27/10/2020

Une vulnérabilité a été découverte dans Kleopatra, gestionnaire graphique de certificats pour GnuPG. Un attaquant distant non-authentifié peut exécuter du code arbitraire.

CVE-2020-24972 [Score CVSS v3 : 8.8] : Une vulnérabilité de type exécution de code arbitraire a été découverte dans Kleopatra. Un attaquant distant non-authentifié peut provoquer le chargement d’une bibliothèque partagée arbitraire en poussant l’utilisateur à ouvrir une URL spécialement conçue.

Informations

La faille est activement exploitée :

Un correctif existe :

Une mesure de contournement existe :

Risques

Risques

Exécution de code arbitraire

Criticité

Score CVSS v3 : 8.8

Existence d’un code d’exploitation

Aucun code d’exploitation n’est disponible publiquement à ce jour, les informations disponibles sont cependant suffisantes pour facilement en concevoir

Composants vulnérables

Kleopatra 3 avant la version 3.1.12

Kleopatra 20 avant la version 20.07.80

CVE

CVE-2020-24972

Solutions ou recommandations

Mise en place de correctifs de sécurité

Mettre à jour Kleopatra vers une version non-vulnérable

Solution de contournement

Aucune solution de contournement n’est disponible

Liens

openSUSE Security Update: Security update for kleopatra