Vulnérabilité dans Microsoft Windows Installer Service
Date de publication :
CVE-2021-26415 [Score CVSS v3 : 7.8]
Cette vulnérabilité peut permettre à un attaquant local et authentifié d'écrire des données dans des fichiers arbitraires afin d’obtenir les privilèges administrateur et d’être en mesure d’injecter du code arbitraire. Elle est due à une validation incorrecte d'un chemin fourni par l'utilisateur avant de l'utiliser dans des opérations sur des fichiers.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
Risques
- Elévation de privilèges
- Exécution de code arbitraire
Criticité
- Score CVSS v3 : 7.8
Existence d’un code d’exploitation
- Un exploit (POC) existe
Composants vulnérables
- Windows Server 2008
- Windows Server 2008 R2
- Windows Server 2016
- Windows Server version 20H2
- Windows Server 2019
- Windows 7
- Windows 8.1
- Windows RT 8.1
- Windows 10
- Windows 10 version 1607
- Windows 10 version 1803
- Windows 10 version 1809
- Windows 10 version 1909
- Windows 10 version 2004
- Windows 10 version 20H2
CVE
Solutions ou recommandations
Mise en place de correctifs de sécurité
- Appliquer le correctif de sécurité Microsoft associé à la version du dispositif Microsoft vulnérable. La liste d’association est disponible dans l’avis de sécurité Microsoft en référence de ce bulletin.
Solution de contournement
- Aucune solution de contournement n’est disponible publiquement à l’heure actuelle.