Vulnérabilité dans WebKitGtk

Date de publication : 29/09/2022

CVE-2020-13558[Score CVSS v3 : 8.8] : Une vulnérabilité de type “use-after-free” au sein de la classe AudioSourceProviderGStreamer de WebKitGTK et WPE WebKit a été corrigée. Son exploitation peut permettre à un attaquant distant et non-authentifié d’injecter de code arbitraire sur un système vulnérable en persuadant une victime d'ouvrir un contenu web spécialement conçu.

Informations

La faille est activement exploitée :

Un correctif existe :

Une mesure de contournement existe :

Risques

Risques

Injection de code arbitraire.

Criticité

Score CVSS v3 : 8.8

Existence d’un code d’exploitation

Aucun code d’exploitation n’est disponible à l’heure actuelle.

Composants vulnérables

Les versions de Webkitgtk antérieures à la version 2.30.5 sont impactées par ces vulnérabilités.

CVE

CVE-2020-13558

Solutions ou recommandations

Mise en place de correctifs de sécurité

Mettre à jour WebKitGTK vers la version 2.30.5 ou ultérieures.

Solution de contournement

Aucune solution de contournement n’est disponible à l’heure actuelle.

Liens

oss-sec: WebKitGTK and WPE WebKit Security Advisory WSA-2021-0001