Vulnérabilité dans Microsoft Windows Installer Service
Date de publication :
CVE-2021-26415 [Score CVSS v3 : 7.8]
Cette vulnérabilité peut permettre à un attaquant local et authentifié d'écrire des données dans des fichiers arbitraires afin d’obtenir les privilèges administrateur et d’être en mesure d’injecter du code arbitraire. Elle est due à une validation incorrecte d'un chemin fourni par l'utilisateur avant de l'utiliser dans des opérations sur des fichiers.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
Risques
-
Elévation de privilèges
Exécution de code arbitraire
Criticité
-
Score CVSS v3 : 7.8
Existence d’un code d’exploitation
-
Un exploit (POC) existe
Composants vulnérables
-
Windows Server 2008
Windows Server 2008 R2
Windows Server 2016
Windows Server version 20H2
Windows Server 2019
Windows 7
Windows 8.1
Windows RT 8.1
Windows 10
Windows 10 version 1607
Windows 10 version 1803
Windows 10 version 1809
Windows 10 version 1909
Windows 10 version 2004
Windows 10 version 20H2
CVE
Solutions ou recommandations
Mise en place de correctifs de sécurité
- Appliquer le correctif de sécurité Microsoft associé à la version du dispositif Microsoft vulnérable. La liste d’association est disponible dans l’avis de sécurité Microsoft en référence de ce bulletin.
Solution de contournement
- Aucune solution de contournement n’est disponible publiquement à l’heure actuelle.