Уязвимость в продукте Oracle VM VirtualBox (компонент Core) виртуализации Oracle. Поддерживаемые версии 7.1.12 и 7.2.2. Уязвимость легко эк…
Уязвимость в продукте Oracle VM VirtualBox (компонент Core) виртуализации Oracle. Поддерживаемые версии 7.1.12 и 7.2.2. Уязвимость легко эксплуатируется: злоумышленник с привилегиями высокого уровня, имеющий сеанс входа в инфраструктуру, где запущен Oracle VM VirtualBox, может полностью захватить продукт. Хотя уязвимость относится к VirtualBox, её эксплуатация может существенно затронуть и другие продукты (изменение области). Успешная атака может привести к полному захвату Oracle VM VirtualBox. CVSS 3.1 базовый балл 8.2 (влияние на конфиденциальность, целостность и доступность). Вектор CVSS: (CVSS:3.1/AV:L/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H). Эта уязвимость включена в Oracle Critical Patch Update Advisory за октябрь 2025 г., в котором опубликовано 374 новых патча; Oracle настоятельно рекомендует немедленно установить соответствующие обновления, поскольку отсутствие патчей может привести к успешным атакам [1]. Источники: - [1] https://www.oracle.com/security-alerts/cpuoct2025.html
Конкретная привилегия, роль, возможность или право могут использоваться для выполнения небезопасных действий, которые не предполагались, даже если они назначены надлежащему субъекту.
https://cwe.mitre.org/data/definitions/267.html →Открыть в коллекции CWE →Злоумышленник обнаруживает метод управления правами в стиле REST HTTP (Get, Put, Delete), позволяющий ему выполнять различные вредоносные действия с данными на сервере вследствие отсутствия механизмов контроля доступа в сервисе приложения, принимающем HTTP-сообщения.
https://capec.mitre.org/data/definitions/58.html →Открыть в коллекции CAPEC →Злоумышленник эксплуатирует функции аудио и видео целевой системы с помощью вредоносного программного обеспечения или запланированных задач. Цель — сбор конфиденциальной информации о цели в финансовых, личных, политических или иных целях. Это достигается путём перехвата данных переговоров двух сторон с использованием периферийных устройств (например, микрофонов и веб-камер) или приложений с возможностями аудио и видео (например, Skype) на системе.
https://capec.mitre.org/data/definitions/634.html →Открыть в коллекции CAPEC →Злоумышленник эксплуатирует приложение, допускающее копирование конфиденциальных данных, путём сбора информации, скопированной в буфер обмена. Данные из буфера обмена доступны другим приложениям, например вредоносному программному обеспечению, предназначенному для периодического извлечения или записи содержимого буфера обмена. Таким образом злоумышленник стремится получить информацию, к которой у него нет санкционированного доступа.
https://capec.mitre.org/data/definitions/637.html →Открыть в коллекции CAPEC →Злоумышленник обнаруживает связи между системами, используя стандартную практику целевой системы раскрывать их в общедоступных местах. Определив общие папки/диски между системами, злоумышленник может продвигать свои цели по обнаружению и сбору конфиденциальной информации/файлов или составлению карты возможных маршрутов для горизонтального перемещения по сети.
https://capec.mitre.org/data/definitions/643.html →Открыть в коллекции CAPEC →Злоумышленник собирает конфиденциальную информацию, используя функцию захвата экрана системы. С помощью скриншотов злоумышленник стремится наблюдать за происходящим на экране в ходе операций. Злоумышленник может использовать собранную информацию для проведения последующих атак.
https://capec.mitre.org/data/definitions/648.html →Открыть в коллекции CAPEC →| Продукт | Вендор | Статус |
|---|---|---|
| Отслеживается | ||
| virtualbox | Отслеживается | |
| virtualbox | Отслеживается | |
| vm_virtualbox | * | Отслеживается |