Vulnérabilité dans le VPN de Mozilla
Date de publication :
Le réseau privé virtuel (VPN) de Mozilla est une extension pour navigateur web, c’est aussi une application bureau et mobile. Ce VPN permet de masquer l’adresse IP de l’utilisateur, de masquer la localisation des sites web visités et de chiffrer l’activité du réseau.
CVE-2022-0517[Score CVSS v3.1:7.8]
Le fichier de configuration OpenSSL étant localisé dans un dossier non protégé, un attaquant peut y placer un fichier afin d’exécuter du code arbitraire avec les privilèges système.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
- Exécution de code arbitraire
- Élévation de privilège
Criticité
- Score CVSS v3.1: 7.8
La faille est activement exploitée
- Non
Un correctif existe
- Oui
Une mesure de contournement existe
- Non
Les vulnérabilités exploitées sont du type
Détails sur l’exploitation
- Vecteur d’attaque : Local
- Complexité de l’attaque : Faible
- Privilèges nécessaires pour réaliser l’attaque : Authentification utilisateur simple
- Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Non
- L’exploitation de la faille permet d’obtenir des droits privilégiés : Oui
Composants vulnérables.
- Cette faille affecte la version 2.7.0 du VPN de Mozilla
Solutions ou recommandations
- Appliquer la mise à jour vers la version 2.7.1 du VPN de Mozilla.