| CVSS Meta Temp score | Preço de exploração actual (≈) | Nota de Interesse CTI |
|---|---|---|
| 6.7 | $5k-$25k | 0.00 |
Uma vulnerabilidade classificada como crítico foi encontrada em Microsoft Windows. Afectado é uma função desconhecida do componente User Profile Service. A manipulação com uma entrada desconhecida leva a direitos alargados. Usar a CWE para declarar o problema leva à CWE-269. O aconselhamento é partilhado para download em portal.msrc.microsoft.com. O lançamento público foi coordenado com o fornecedor.
A vulnerabilidade é identificada como CVE-2020-0785. O ataque pode ser iniciado a partir da rede. Não há detalhes técnicos disponíveis. A vulnerabilidade não é bem conhecida. Não há nenhuma exploração disponível. Deve assumir-se que uma exploração custa actualmente cerca de USD $5k-$25k. Esta vulnerabilidade é atribuída a T1068 pelo projecto MITRE ATT&CK. O aconselhamento aponta para o seguinte:
An elevation of privilege vulnerability exists when the Windows User Profile Service (ProfSvc) improperly handles symlinks. An attacker who successfully exploited this vulnerability could delete files and folders in an elevated context.
É declarado como não definido. Como 0 dia, o preço estimado do subsolo foi de cerca de $25k-$100k.
Recomenda-se a aplicação de um remendo para resolver este problema.
Produto
Tipo
Fabricante
Nome
Versão
- 7 SP1
- 8.1
- 10
- 10 1607
- 10 1709
- 10 1803
- 10 1809
- 10 1903
- 10 1909
- RT 8.1
- Server 1803
- Server 1903
- Server 1909
- Server 2008 R2 SP1
- Server 2008 SP2
- Server 2012
- Server 2012 R2
- Server 2016
- Server 2019
Licença
CPE 2.3
CPE 2.2
CVSSv4
VulDB CVSS-B Score: 🔍VulDB CVSS-BT Score: 🔍
VulDB Vector: 🔍
VulDB Fiabilidade: 🔍
CVSSv3
VulDB Meta Pontuação Base: 6.8VulDB Meta Temp score: 6.7
VulDB Pontuação Base: 6.3
VulDB Pontuação da Tempestade: 6.0
VulDB Vector: 🔍
VulDB Fiabilidade: 🔍
Fabricante Pontuação Base (Microsoft): 7.0
Fabricante Vector (Microsoft): 🔍
NVD Pontuação Base: 7.1
NVD Vector: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vector | Complexidade | Autenticação | Confidencialidade | Integridade | Disponibilidade |
|---|---|---|---|---|---|
| Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
| Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
| Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
VulDB Pontuação Base: 🔍
VulDB Pontuação da Tempestade: 🔍
VulDB Fiabilidade: 🔍
NVD Pontuação Base: 🔍
Exploração
Classe: Direitos alargadosCWE: CWE-269 / CWE-266
CAPEC: 🔍
ATT&CK: 🔍
Local: Não
Remoto: Sim
Disponibilidade: 🔍
Estado: Não definido
EPSS Score: 🔍
EPSS Percentile: 🔍
Tendência dos preços: 🔍
Estimativa de preço actual: 🔍
| 0-Day | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
|---|---|---|---|---|
| Hoje | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
Inteligência de Ameaças
Interesse: 🔍Actores Activos: 🔍
Grupos APT activos: 🔍
Contra-medidas
Recomendação: PatchEstado: 🔍
Tempo de resposta: 🔍
Tempo 0-Dia: 🔍
Tempo de Exposição: 🔍
Linha do tempo
04/11/2019 🔍10/03/2020 🔍
10/03/2020 🔍
11/03/2020 🔍
10/04/2024 🔍
Fontes
Fabricante: microsoft.comProduto: microsoft.com
Aconselhamento: portal.msrc.microsoft.com
Estado: Confirmado
Coordenado: 🔍
CVE: CVE-2020-0785 (🔍)
scip Labs: https://www.scip.ch/en/?labs.20161215
Veja também: 🔍
Entrada
Criado em: 11/03/2020 08h54Actualizado em: 10/04/2024 15h29
Ajustamentos: 11/03/2020 08h54 (54), 11/03/2020 08h59 (17), 10/04/2024 15h29 (18)
Completo: 🔍
Ainda sem comentários. Idiomas: pt + en.
Por favor inicie sessão para comentar.