VDB-155151 · CVE-2020-1149 · GCVE-0-2020-1149

Microsoft Windows 直到 Server 2019 Windows Runtime 权限提升

CVSS 元临时分数	当前攻击价格 (≈)	CTI兴趣分数
6.7	$5k-$25k	0.00

摘要信息

在Microsoft Windows 中已发现分类为致命的漏洞。受此漏洞影响的是未知功能的组件Windows Runtime。由于被操作，进而引发权限提升。该漏洞被处理的名称为CVE-2020-1149，攻击可能起始于远程，没有可利用漏洞。推荐安装补丁来解决该问题。

在Microsoft Windows 中已发现分类为致命的漏洞。受此漏洞影响的是未知功能的组件Windows Runtime。由于被操作，进而引发权限提升。使用CWE来声明会导致 CWE-269 的问题。该漏洞已于 2020-05-12 作为Security Update Guide （网站）发布。公告共享下载网址是portal.msrc.microsoft.com。此次公开的可用性已与供应商协调。

该漏洞被处理的名称为CVE-2020-1149，攻击可能起始于远程，无技术细节可用。此漏洞的受欢迎程度低于平均值。没有可利用漏洞。漏洞利用的当前现价为美元计算大致为USD $5k-$25k。 MITRE ATT&CK项目使用攻击技术T1068来解决该问题。通告提到：

An elevation of privilege vulnerability exists when the Windows Runtime improperly handles objects in memory. An attacker who successfully exploited this vulnerability could run arbitrary code in an elevated context.

如果有长度，则声明为未定义。作为零日漏洞，其地下市场的估计价格约为$25k-$100k。

推荐安装补丁来解决该问题。在漏洞披露后立即，已经有可能的缓解措施发布。

产品信息

类型

Operating System

供应商

Microsoft

名称

Windows

版本

许可证

商业

网站

供应商: https://www.microsoft.com/
产品: https://www.microsoft.com/en-us/windows

CPE 2.3信息

CPE 2.2信息

CVSSv4信息

VulDB 向量: 🔍
VulDB 可靠性: 🔍

CVSSv3信息

VulDB 元基础分数: 7.0
VulDB 元临时分数: 6.9

VulDB 基本分数: 6.3
VulDB 临时得分: 6.0
VulDB 向量: 🔍
VulDB 可靠性: 🔍

供应商基本分数 (Microsoft): 7.0
供应商 Vector (Microsoft): 🔍

NVD 基本分数: 7.8
NVD 向量: 🔍