Symantec corrige une vulnérabilité importante d'exécution de commandes dans Norton Core

Symantec a corrigé une vulnérabilité d'injection de commandes dans Norton Core. D'après son score CVSS (AV:A/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H), l'exploitation de cette vulnérabilité n'est pas compliquée et ne requiert pas de privilèges mais nécessite l'interaction de l'utilisateur sur la machine ciblée et d'être sur un réseau adjacent. L'exploitation de la vulnérabilité pourrait faciliter la réalisation d'attaques plus avancées.

Informations
+

Impact

  • Injection de commandes

Criticité

  • CVSS v3 : 8.0

Existence d’un code d’exploitation de la vulnérabilité

  • Une preuve de concept est disponible sur GitHub.

Composants & versions vulnérables

  • Norton Core versions antérieures à v237

CVE

  • CVE-2018-5234

Recommandations
+

Correctifs

  • La vulnérabilité est corrigée à partir de la version v237

Solution de contournement

  • Il n’existe pas actuellement de solution de contournement.