Vulnérabilité dans le VPN de Mozilla
Date de publication :
Le réseau privé virtuel (VPN) de Mozilla est une extension pour navigateur web, c’est aussi une application bureau et mobile. Ce VPN permet de masquer l’adresse IP de l’utilisateur, de masquer la localisation des sites web visités et de chiffrer l’activité du réseau.
CVE-2022-0517[Score CVSS v3.1:7.8]
Le fichier de configuration OpenSSL étant localisé dans un dossier non protégé, un attaquant peut y placer un fichier afin d’exécuter du code arbitraire avec les privilèges système.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
Exécution de code arbitraire
Élévation de privilège
Criticité
Score CVSS v3.1: 7.8
La faille est activement exploitée
Non
Un correctif existe
Oui
Une mesure de contournement existe
Non
Les vulnérabilités exploitées sont du type
Détails sur l’exploitation
Vecteur d’attaque : Local
Complexité de l’attaque : Faible
Privilèges nécessaires pour réaliser l’attaque : Authentification utilisateur simple
Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Non
L’exploitation de la faille permet d’obtenir des droits privilégiés : Oui
Composants vulnérables.
Cette faille affecte la version 2.7.0 du VPN de Mozilla
Solutions ou recommandations
- Appliquer la mise à jour vers la version 2.7.1 du VPN de Mozilla.