Parallels Desktop
Уязвимости
75
Эксплуатируемые
0
Макс. CVSS
10
Макс. EPSS
0.01641
Распределение по критичности
Критический
1
Высокий
47
Средний
25
Низкий
2
Затронутые диапазоны версий
19.3.1–19.4.2< 15.1.3< 15.1.4< 16.0.0< 17.1.7_\(51588\)< 18.1.0< 18.1.0_\(53311\)< 18.1.1_\(53328\)< 19.1.0_\(54729\)< 19.3.0
Также сопоставлено как (исходные строки): parallels_desktop
Топ уязвимостей
CVE-2024-6240Уязвимость неправильного управления привилегиями в Parallels Desktop Software, которая затрагивает версии ранее 19.3.0. Злоумышленник может добавить вредоносный код в скрипт и заполнить переменную среды BASH_ENV путем к вредоносному скрипту, выполняющемуся при запуске приложения. Злоумышленник может использовать эту уязвимость для повышения привилегий в системе.
CVE-2025-31359В функциональности распаковки пакета PVMP существует уязвимость обхода директорий, которая может позволить злоумышленнику записать файлы в произвольные места, потенциально приведя к повышению привилегий [1].
Источники:
- [1] https://talosintelligence.com/vulnerability_reports/TALOS-2025-2160
CVE-2022-34890Эта уязвимость позволяет локальным злоумышленникам раскрывать конфиденциальную информацию в затронутых установках Parallels Desktop 17.1.1 (51537). Злоумышленник должен сначала получить возможность выполнять код с низкими привилегиями в целевой гостевой системе, чтобы использовать эту уязвимость. Конкретная ошибка существует в компоненте Parallels Tools. Проблема возникает из-за отсутствия надлежащей проверки значения, предоставленного пользователем, перед его разыменованием в качестве указателя. Злоумышленник может использовать это в сочетании с другими уязвимостями для повышения привилегий и выполнения произвольного кода в контексте ядра. Was ZDI-CAN-16653.
CVE-2021-34864Эта уязвимость позволяет локальным злоумышленникам повышать привилегии в уязвимых установках Parallels Desktop 16.1.3 (49160). Злоумышленник должен сначала получить возможность выполнять код с низкими привилегиями в целевой гостевой системе, чтобы воспользоваться этой уязвимостью. Конкретная ошибка существует в компоненте WinAppHelper. Проблема возникает из-за отсутствия надлежащего контроля доступа. Злоумышленник может использовать эту уязвимость для повышения привилегий и выполнения произвольного кода в контексте гипервизора. Was ZDI-CAN-13543.
CVE-2021-34857Эта уязвимость позволяет локальным злоумышленникам повышать привилегии в уязвимых установках Parallels Desktop 16.1.3 (49160). Злоумышленник должен сначала получить возможность выполнять код с высокими привилегиями в целевой гостевой системе, чтобы воспользоваться этой уязвимостью. Конкретная ошибка существует в компоненте Toolgate. Проблема возникает из-за отсутствия надлежащей проверки предоставленных пользователем данных, что может привести к записи за пределы выделенного буфера. Злоумышленник может использовать эту уязвимость для повышения привилегий и выполнения произвольного кода в контексте гипервизора. Was ZDI-CAN-13601.
CVE-2021-34856Эта уязвимость позволяет локальным злоумышленникам повышать привилегии в уязвимых установках Parallels Desktop 16.1.3 (49160). Злоумышленник должен сначала получить возможность выполнять код с высокими привилегиями в целевой гостевой системе, чтобы воспользоваться этой уязвимостью. Конкретная ошибка существует в виртуальном устройстве virtio-gpu. Проблема возникает из-за отсутствия надлежащей проверки предоставленных пользователем данных, что может привести к повреждению памяти. Злоумышленник может использовать эту уязвимость для повышения привилегий и выполнения произвольного кода в контексте гипервизора. Was ZDI-CAN-13581.
CVE-2021-31426Эта уязвимость позволяет локальным злоумышленникам повысить свои привилегии в подверженных атаке установках Parallels Desktop 16.1.2-49151. Злоумышленник должен сначала получить возможность выполнять код с низкими привилегиями в целевой системе, чтобы использовать эту уязвимость. Конкретный недостаток существует в компоненте Parallels Tools. Проблема возникает из-за отсутствия надлежащей проверки предоставленных пользователем данных, что может привести к переполнению целого числа перед выделением буфера. Злоумышленник может использовать эту уязвимость для повышения привилегий и выполнения произвольного кода в контексте ядра в целевой гостевой системе. Was ZDI-CAN-12791.
CVE-2021-31425Эта уязвимость позволяет локальным злоумышленникам повысить свои привилегии в подверженных атаке установках Parallels Desktop 16.1.2-49151. Злоумышленник должен сначала получить возможность выполнять код с низкими привилегиями в целевой гостевой системе, чтобы использовать эту уязвимость. Конкретный недостаток существует в компоненте Parallels Tools. Проблема возникает из-за отсутствия надлежащей проверки предоставленных пользователем данных, что может привести к переполнению целого числа перед выделением буфера. Злоумышленник может использовать эту уязвимость для повышения привилегий и выполнения произвольного кода в контексте ядра в целевой гостевой системе. Was ZDI-CAN-12790.
CVE-2021-31424Эта уязвимость позволяет локальным злоумышленникам повысить свои привилегии в подверженных атаке установках Parallels Desktop 15.1.5-47309. Злоумышленник должен сначала получить возможность выполнять код с низкими привилегиями в целевой гостевой системе, чтобы использовать эту уязвимость. Конкретный недостаток существует в компоненте Open Tools Gate. Проблема возникает из-за отсутствия надлежащей проверки длины предоставленных пользователем данных перед их копированием в буфер фиксированной длины на основе кучи. Злоумышленник может использовать эту уязвимость для повышения привилегий и выполнения произвольного кода в контексте гипервизора. Was ZDI-CAN-12848.
CVE-2021-31420Эта уязвимость позволяет локальным злоумышленникам повысить свои привилегии в подверженных атаке установках Parallels Desktop 16.1.0-48950. Злоумышленник должен сначала получить возможность выполнять код с низкими привилегиями в целевой гостевой системе, чтобы использовать эту уязвимость. Конкретный недостаток существует в компоненте Toolgate. Проблема возникает из-за отсутствия надлежащей проверки длины предоставленных пользователем данных перед их копированием в буфер фиксированной длины на основе стека. Злоумышленник может использовать эту уязвимость для повышения привилегий и выполнения произвольного кода в контексте гипервизора. Was ZDI-CAN-12220.
CVE-2021-27243Эта уязвимость позволяет локальным злоумышленникам повышать привилегии в затронутых установках Parallels Desktop 16.0.1-48919. Злоумышленник должен сначала получить возможность выполнять код с низкими привилегиями в целевой гостевой системе, чтобы использовать эту уязвимость. Конкретный недостаток существует в компоненте Toolgate. Проблема возникает из-за отсутствия надлежащей проверки предоставленных пользователем данных, что может привести к переполнению целого числа перед выделением буфера. Злоумышленник может использовать эту уязвимость для повышения привилегий и выполнения произвольного кода в контексте гипервизора. Была ZDI-CAN-11924.
CVE-2021-27242Эта уязвимость позволяет локальным злоумышленникам повышать привилегии в затронутых установках Parallels Desktop 16.0.1-48919. Злоумышленник должен сначала получить возможность выполнять код с низкими привилегиями в целевой гостевой системе, чтобы использовать эту уязвимость. Конкретный недостаток существует в компоненте Toolgate. Проблема возникает из-за отсутствия надлежащей проверки предоставленных пользователем данных, что может привести к повреждению памяти. Злоумышленник может использовать эту уязвимость для повышения привилегий и выполнения кода в контексте гипервизора. Была ZDI-CAN-11926.
CVE-2020-8875Эта уязвимость позволяет локальным злоумышленникам повышать привилегии на уязвимых установках Parallels Desktop 15.1.2-47123. Злоумышленник должен сначала получить возможность выполнять код с низкими привилегиями в целевой системе, чтобы использовать эту уязвимость. Конкретный недостаток существует в обработчике IOCTL. Проблема возникает из-за отсутствия надлежащей проверки данных, предоставленных пользователем, что может привести к записи за пределы выделенного буфера. Злоумышленник может использовать эту уязвимость для повышения привилегий и выполнения кода в контексте ядра. Was ZDI-CAN-10028.
CVE-2020-17400Эта уязвимость позволяет локальным злоумышленникам повысить привилегии в затронутых установках Parallels Desktop 15.1.4. Злоумышленник должен сначала получить возможность выполнять код с низкими привилегиями в целевой системе, чтобы использовать эту уязвимость. Конкретный недостаток существует в prl_hypervisor kext. Проблема возникает из-за отсутствия надлежащей проверки предоставленных пользователем данных, что может привести к чтению за пределами выделенного буфера. Злоумышленник может использовать эту уязвимость для повышения привилегий и выполнения кода в контексте гипервизора. Был ZDI-CAN-11304.
CVE-2020-17399Эта уязвимость позволяет локальным злоумышленникам повысить привилегии в затронутых установках Parallels Desktop 15.1.4. Злоумышленник должен сначала получить возможность выполнять код с низкими привилегиями в целевой системе, чтобы использовать эту уязвимость. Конкретный недостаток существует в prl_hypervisor kext. Проблема возникает из-за отсутствия надлежащей проверки предоставленных пользователем данных, что может привести к записи за пределами выделенного буфера. Злоумышленник может использовать эту уязвимость для повышения привилегий и выполнения кода в контексте ядра. Был ZDI-CAN-11303.
CVE-2020-17396Эта уязвимость позволяет локальным злоумышленникам повысить привилегии в затронутых установках Parallels Desktop 15.1.4. Злоумышленник должен сначала получить возможность выполнять код с низкими привилегиями в целевой системе, чтобы использовать эту уязвимость. Конкретный недостаток существует в модуле prl_hypervisor. Проблема возникает из-за отсутствия надлежащей проверки предоставленных пользователем данных, что может привести к целочисленному переполнению перед выделением буфера. Злоумышленник может использовать эту уязвимость для повышения привилегий и выполнения кода в контексте ядра. Был ZDI-CAN-11217.
CVE-2020-17392Эта уязвимость позволяет локальным злоумышленникам повысить привилегии в затронутых установках Parallels Desktop 15.1.3-47255. Злоумышленник должен сначала получить возможность выполнять код с низкими привилегиями в целевой системе, чтобы использовать эту уязвимость. Конкретный недостаток существует в обработчике HOST_IOCTL_SET_KERNEL_SYMBOLS в prl_hypervisor kext. Проблема возникает из-за отсутствия надлежащей проверки предоставленного пользователем значения перед его разыменованием в качестве указателя. Злоумышленник может использовать эту уязвимость для повышения привилегий и выполнения кода в контексте ядра. Был ZDI-CAN-10519.
CVE-2020-17390Эта уязвимость позволяет локальным злоумышленникам повысить привилегии в затронутых установках Parallels Desktop 15.1.2-47123. Злоумышленник должен сначала получить возможность выполнять код с низкими привилегиями в целевой системе, чтобы использовать эту уязвимость. Конкретный недостаток существует в расширении ядра гипервизора. Проблема возникает из-за отсутствия надлежащей проверки предоставленных пользователем данных, что может привести к чтению за пределами выделенного буфера. Злоумышленник может использовать эту уязвимость для повышения привилегий и выполнения кода в контексте гипервизора. Был ZDI-CAN-10030.
CVE-2023-50227Уязвимость Parallels Desktop virtio-gpu, связанная с записью за пределами границ, позволяющая удаленно выполнить код. Эта уязвимость позволяет удаленным злоумышленникам выполнять произвольный код на уязвимых установках Parallels Desktop. Для эксплуатации этой уязвимости требуется взаимодействие с пользователем, заключающееся в том, что цель в гостевой системе должна посетить вредоносную страницу или открыть вредоносный файл.
Конкретная ошибка существует в виртуальном устройстве virtio-gpu. Проблема возникает из-за отсутствия надлежащей проверки данных, предоставленных пользователем, что может привести к записи за пределы выделенного буфера. Злоумышленник может использовать эту уязвимость для выполнения кода в контексте гипервизора.
. ZDI-CAN-21260.
CVE-2023-27326Уязвимость Parallels Desktop Toolgate Directory Traversal, связанная с локальным повышением привилегий. Эта уязвимость позволяет локальным злоумышленникам повышать привилегии на затронутых установках Parallels Desktop. Злоумышленник должен сначала получить возможность выполнять код с высокими привилегиями в целевой гостевой системе, чтобы воспользоваться этой уязвимостью.
Конкретный недостаток существует в компоненте Toolgate. Проблема возникает из-за отсутствия надлежащей проверки предоставленного пользователем пути перед его использованием в файловых операциях. Злоумышленник может использовать эту уязвимость для повышения привилегий и выполнения произвольного кода в контексте текущего пользователя в хост-системе. Был ZDI-CAN-18933.
CVE-2022-34889Эта уязвимость позволяет локальным злоумышленникам повысить привилегии в затронутых установках Parallels Desktop 17.1.1 (51537). Злоумышленник должен сначала получить возможность выполнять код с высокими привилегиями в целевой гостевой системе, чтобы использовать эту уязвимость. Конкретная ошибка существует в виртуальном устройстве ACPI. Проблема возникает из-за отсутствия надлежащей проверки данных, предоставленных пользователем, что может привести к чтению за пределами выделенного буфера. Злоумышленник может использовать эту уязвимость для повышения привилегий и выполнения произвольного кода в контексте гипервизора. Was ZDI-CAN-16554.
CVE-2021-34987Эта уязвимость позволяет локальным злоумышленникам повышать привилегии на затронутых установках Parallels Desktop 16.5.1 (49187). Злоумышленник должен сначала получить возможность выполнять код с высокими привилегиями в целевой гостевой системе, чтобы использовать эту уязвимость. Конкретный недостаток существует в виртуальном устройстве HDAudio. Проблема возникает из-за отсутствия надлежащей проверки длины предоставленных пользователем данных перед их копированием в буфер фиксированной длины. Злоумышленник может использовать эту уязвимость для повышения привилегий и выполнения произвольного кода в контексте гипервизора. Была ZDI-CAN-14969.
CVE-2021-31429Эта уязвимость позволяет локальным злоумышленникам повысить свои привилегии в подверженных атаке установках Parallels Desktop 15.1.5-47309. Злоумышленник должен сначала получить возможность выполнять код с высокими привилегиями в целевой гостевой системе, чтобы использовать эту уязвимость. Конкретный недостаток существует в виртуальном устройстве IDE. Проблема возникает из-за отсутствия надлежащей проверки длины предоставленных пользователем данных перед их копированием в буфер фиксированной длины на основе кучи. Злоумышленник может использовать эту уязвимость для повышения привилегий и выполнения произвольного кода в контексте гипервизора. Was ZDI-CAN-13187.
CVE-2021-31428Эта уязвимость позволяет локальным злоумышленникам повысить свои привилегии в подверженных атаке установках Parallels Desktop 15.1.5-47309. Злоумышленник должен сначала получить возможность выполнять код с высокими привилегиями в целевой гостевой системе, чтобы использовать эту уязвимость. Конкретный недостаток существует в виртуальном устройстве IDE. Проблема возникает из-за отсутствия надлежащей проверки длины предоставленных пользователем данных перед их копированием в буфер фиксированной длины на основе кучи. Злоумышленник может использовать эту уязвимость для повышения привилегий и выполнения произвольного кода в контексте гипервизора. Was ZDI-CAN-13186.
CVE-2021-27278Эта уязвимость позволяет локальным злоумышленникам повышать привилегии на уязвимых установках Parallels Desktop 16.1.1-49141. Злоумышленник должен сначала получить возможность выполнять код с высокими привилегиями в целевой гостевой системе, чтобы использовать эту уязвимость. Конкретный недостаток существует в компоненте Toolgate. Проблема возникает из-за отсутствия надлежащей проверки предоставленного пользователем пути перед его использованием в файловых операциях. Злоумышленник может использовать эту уязвимость для повышения привилегий и выполнения кода в контексте текущего пользователя в хост-системе. Ранее было ZDI-CAN-12130.