Vulnérabilité dans Microsoft Windows Installer Service

CVE-2021-26415 [Score CVSS v3 : 7.8] : Cette vulnérabilité peut permettre à un attaquant local et authentifié d'écrire des données dans des fichiers arbitraires afin d’obtenir les privilèges administrateur et d’être en mesure d’injecter du code arbitraire. Elle est due à une validation incorrecte d'un chemin fourni par l'utilisateur avant de l'utiliser dans des opérations sur des fichiers.

Informations
+

Risques

  • Elévation de privilèges
  • Exécution de code arbitraire

Criticité

  • Score CVSS v3 : 7.8

Existence d’un code d’exploitation

  • Aucun code d'exploitation n’est disponible publiquement à l’heure actuelle.

Composants vulnérables

  • Windows Server 2008
  • Windows Server 2008 R2
  • Windows Server 2016
  • Windows Server version 20H2
  • Windows Server 2019
  • Windows 7
  • Windows 8.1
  • Windows RT 8.1
  • Windows 10 
  • Windows 10 version 1607
  • Windows 10 version 1803
  • Windows 10 version 1809
  • Windows 10 version 1909
  • Windows 10 version 2004
  • Windows 10 version 20H2

CVE


Recommandations
+

Mise en place de correctifs de sécurité

  • Appliquer le correctif de sécurité Microsoft associé à la version du dispositif Microsoft vulnérable. La liste d’association est disponible dans l’avis de sécurité Microsoft en référence de ce bulletin.

Solution de contournement

  • Aucune solution de contournement n’est disponible publiquement à l’heure actuelle.