Vulnerabilidad en configuración de .exe en xampp-contol.ini en XAMPP en Windows (CVE-2020-11107)

Tipo:

No disponible / Otro tipo

Gravedad:

Media

Fecha publicación :

02/04/2020

Última modificación:

18/10/2021

Descripción

Se detectó un problema en XAMPP versiones anteriores a 7.2.29, versiones 7.3.x anteriores a 7.3.16 y versiones 7.4.x anteriores a 7.4.4 en Windows. Un usuario no privilegiado puede cambiar una configuración de .exe en xampp-contol.ini para todos los usuarios (incluyendo los administradores) para permitir una ejecución de comandos arbitraria.

Impacto

Vector de acceso: A través de red

Complejidad de Acceso: Media

Autenticación: No requerida para explotarla

Tipo de impacto: Afecta parcialmente a la integridad del sistema + Afecta parcialmente a la confidencialidad del sistema + Afecta parcialmente a la disponibilidad del sistema

Productos y versiones vulnerables

cpe:2.3:o:microsoft:windows:-:*:*:*:*:*:*:*
cpe:2.3:a:apachefriends:xampp:*:*:*:*:*:*:*:*

Para consultar la lista completa de productos y versiones ver esta página

Referencias a soluciones, herramientas e información

https://www.apachefriends.org/blog/new_xampp_20200401.html (Origen: CONFIRM)
http://packetstormsecurity.com/files/164292/XAMPP-7.4.3-Privilege-Escalation.html (Origen: MISC)

Explicación de los campos

Accesos corporativos

Vulnerabilidad en configuración de .exe en xampp-contol.ini en XAMPP en Windows (CVE-2020-11107)