Vulnérabilité dans Oracle VirtualBox
Date de publication :
ZNI-22-1152[Score CVSS v3.1:7.5]
Un défaut de contrôle des données envoyées par l’utilisateur dans la fonction PGMPhysRead permet à un attaquant local, ayant des privilèges élevés sur la machine virtuelle, d’élever ses privilèges et d’exécuter du code arbitraire sur le système hôte avec les privilèges de l’hyperviseur.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
Élévation de privilèges
Exécution de code arbitraire
Criticité
Score CVSS v3.1: 7.5
La faille est activement exploitée
Non
Un correctif existe
Non
Une mesure de contournement existe
Non
Les vulnérabilités exploitées sont du type
En cours de Recherche
Détails sur l’exploitation
Vecteur d’attaque : Local.
Complexité de l’attaque : Élève.
Privilèges nécessaires pour réaliser l’attaque : Authentification utilisateur privilégiée.
Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Non.
L’exploitation de la faille permet d’obtenir des droits privilégiés : Oui.
Composants vulnérables
VirtualBox
Solutions ou recommandations
VirtualBox n’a pas encore sorti de correctif.
L’éditeur recommande pour atténuer le risque de restreindre les interactions avec l’application.