Vulnérabilité dans FreeRDP (implémentation RDP)
Date de publication :
Une vulnérabilité a été découverte dans FreeRDP, implémentation libre du protocole RDP (bureau à distance). Un attaquant distant (ou local sous certaines conditions) exploitant cette vulnérabilité peut corrompre la mémoire du processus client, ou causer un déni de service.
CVE-2020-13398 [Score CVSS v3 : 8.3] : Une vulnérabilité de type écriture hors-limites a été découverte dans FreeRDP. Lorsque spécifiquement paramétré sur un serveur, le logiciel peut causer une corruption de la mémoire du client utilisée dans des processus cryptographiques sensibles, voire provoquer un déni de service. Un attaquant distant disposant de son propre serveur FreeRDP peut exploiter cette vulnérabilité, tout comme un attaquant local pouvant affecter les paramètres nécessaires.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
- Corruption de mémoire
- Déni de service
Criticité
- Score CVSS v3 : 8.3
Existence d’un code d’exploitation
- Aucun code d’exploitation n’est disponible publiquement à ce jour
Composants vulnérables
- FreeRDP avant la version 2.1.1
CVE
- CVE-2020-13398
Solutions ou recommandations
Mise en place de correctifs de sécurité
Mettre à jour FreeRDP vers une version supérieure ou égale à 2.1.1
Solution de contournement
Aucune solution de contournement n’est disponible