Une vulnérabilité critique identifiée dans le logiciel Hotspot Shield VPN d'AnchorFree

Une vulnérabilité critique a été identifiée dans le logiciel Hotspot Shield VPN d'AnchorFree. Son exploitation permettrait à un attaquant d'obtenir des informations sensibles telles que la localisation, le nom de la connexion WIFI et l’adresse IP de l'utilisateur.

Elle pourrait ainsi exposer les 500 millions d'utilisateurs du logiciel partout dans le monde.

L’exploitation de la vulnérabilité est réalisable par un attaquant non authentifié. Elle nécessite l’envoi de requêtes POST au serveur WEB local Hotspot Shield de la victime (en écoute sur le port 895).

Suite à la découverte de la vulnérabilité, AnchorFree a déclaré qu’une mise à jour serait fournie dans les prochains jours pour supprimer complètement le composant responsable de la divulgation de ces informations technique.

Informations
+

Impact

  • Divulgation d’informations sensibles

Criticité

  • CVSS v3 : Non disponible

Existence d’un code d’exploitation de la vulnérabilité

Composants & versions vulnérables

  • Hotspot Shield VPN

CVE

  • CVE-2018-6460

Recommandations
+

Correctifs

  • Suite à la découverte de la vulnérabilité, AnchorFree a déclaré qu’une mise à jour serait fournie dans les prochains jours pour supprimer complètement le composant responsable de la divulgation de ces informations technique.

Solution de contournement

  • Il n’existe pas actuellement de solution de contournement.