Vulnérabilités dans WebKitGTK
Date de publication :
De multiples vulnérabilités ont été découvertes dans WebKitGTK, moteur de rendu HTML pour l’environnement graphique GTK. Un attaquant distant exploitant ces vulnérabilités peut exécuter des commandes et du code arbitraire.
CVE-2020-9802, CVE-2020-9803, CVE-2020-9806, CVE-2020-9807 [Score CVSS v3 : 8.8] : De multiples vulnérabilités ont été découvertes dans WebKitGTK. Un attaquant distant peut exécuter du code arbitraire via l’envoi de contenu HTML spécialement conçu.
CVE-2020-9850 [Score CVSS v3 : 9.8] : Une vulnérabilité liée à une erreur de logique a été découverte dans WebKitGTK. Un attaquant distant peut exécuter du code arbitraire via un bogue non-spécifié.
CVE-2020-13753 [Score CVSS v3 : en cours de calcul] : Une vulnérabilité de type évasion de “sandbox” a été découverte dans WebKitGTK. Un attaquant distant peut exécuter des commandes arbitraires sur le système hôte via des accès permissifs à certaines fonctions.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
Exécution de commandes arbitraires
Exécution de code arbitraire
Criticité
Score CVSS v3 : 9.8 maximum
Existence d’un code d’exploitation
Aucun code d’exploitation n’est disponible publiquement à ce jour
Composants vulnérables
WebKitGTK avant la version 2.28.3
CVE
CVE-2020-9802
CVE-2020-9803
CVE-2020-9806
CVE-2020-9807
CVE-2020-9850
CVE-2020-13753
Solutions ou recommandations
Mise en place de correctifs de sécurité
Mettre à jour WebKitGTK vers la version 2.28.3 ou supérieure
Solution de contournement
Aucune solution de contournement n’est disponible