Уязвимость в продукте Oracle VM VirtualBox компании Oracle Virtualization (компонент: Core). Поддерживаемая версия, которая затронута, сост…
Уязвимость в продукте Oracle VM VirtualBox компании Oracle Virtualization (компонент: Core). Поддерживаемая версия, которая затронута, составляет 7.1.6. Легко эксплуатируемая уязвимость позволяет высокопривилегированному злоумышленнику с входом в инфраструктуру, где Oracle VM VirtualBox выполняет, чтобы скомпрометировать Oracle VM VirtualBox. В то время как уязвимость находится в Oracle VM VirtualBox, атаки могут значительно повлиять на дополнительные продукты (изменение объема). Успешные атаки этой уязвимости могут привести к несанкционированному созданию, удалению или изменению доступа к критически важным данным или всем доступным данным Oracle VM VirtualBox, а также к несанкционированному доступу к критически важным данным или полному доступу к всем доступным данным Oracle VM VirtualBox и несанкционированной возможности вызвать частичный отказ в обслуживании (частичный DOS) Oracle VM VirtualBox. CVSS 3.1 Базовый балл 8.1 (Влияние конфиденциальности, целостности и доступности). Вектор CVSS: (CVSS:3:31:L/AC:L/PR:H/UI:N/S:C/C/C:H/I:H/A:L/A:L/UI:N/S:C/C:H/I:H/A:L).
Продукт выполняет вычисление, которое может привести к переполнению или обратному переходу целого числа, когда логика предполагает, что результирующее значение всегда будет больше исходного. Это происходит, когда целочисленное значение увеличивается до величины, превышающей допустимый предел для используемого представления. В этом случае значение может стать очень маленьким или отрицательным.
https://cwe.mitre.org/data/definitions/190.html →Открыть в коллекции CWE →Данная атака приводит к выходу целочисленной переменной за допустимый диапазон значений. Целочисленная переменная нередко используется в качестве смещения, например при выделении памяти и т. п. Злоумышленник, как правило, контролирует значение такой переменной и стремится вывести его за допустимые границы. Например, если рассматриваемое целое число инкрементируется сверх максимально допустимого значения, оно может обернуться в очень маленькое или отрицательное число, что повлечёт некорректное поведение. В худшем случае злоумышленник может выполнить произвольный код.
https://capec.mitre.org/data/definitions/92.html →Открыть в коллекции CAPEC →| Продукт | Вендор | Статус |
|---|---|---|
| Отслеживается | ||
| virtualbox | Отслеживается | |
| virtualbox | Отслеживается | |
| virtualbox | Отслеживается | |
| virtualbox | Отслеживается | |
| vm_virtualbox | * | Отслеживается |
| kernel-source-vboxdrv | Отслеживается | |
| kernel-source-vboxguest | Отслеживается | |
| kernel-source-vboxnetadp | Отслеживается | |
| kernel-source-vboxnetflt | Отслеживается | |
| kernel-source-vboxsf | Отслеживается | |
| kernel-source-vboxvideo | Отслеживается | |
| virtualbox | Отслеживается | |
| virtualbox-common | Отслеживается | |
| virtualbox-doc | Отслеживается | |
| virtualbox-guest-additions | Отслеживается | |
| virtualbox-guest-common | Отслеживается | |
| virtualbox-guest-utils | Отслеживается | |
| virtualbox-sdk | Отслеживается | |
| virtualbox-sdk-xpcom | Отслеживается |