| Описание уязвимости | Уязвимость средства организации удаленного доступа Kaspersky VPN Secure Connection связана с возможностью удаления произвольных файлов в системе. Эксплуатация уязвимости может позволить нарушителю повысить свои привилегии путем создания специально сформированной символической ссылки на критическую папку в системе и удаления ее с помощью функции «Удалить служебные данные и отчеты» |
| Вендор | АО «Лаборатория Касперского» |
| Наименование ПО | Kaspersky VPN Secure Connection |
| Версия ПО | до 21.5 включительно |
| Тип ПО | Программное средство защиты |
| Операционные системы и аппаратные платформы | Данные уточняются |
| Тип ошибки | Неверное определение ссылки перед доступом к файлу |
| Идентификатор типа ошибки | CWE-59 |
| Класс уязвимости | Уязвимость кода |
| Дата выявления | 04.08.2022 |
| Базовый вектор уязвимости |
|
| Уровень опасности уязвимости | Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,8) Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,8) |
| Возможные меры по устранению уязвимости |
Компенсирующие меры:
- ограничение доступа пользователей к функциям «Удалить все служебные данные и отчеты» или «Сохранить отчет на вашем компьютере». Использование рекомендаций: https://forum.kaspersky.com/topic/kaspersky-statement-on-cve-2022-27535-26742/ https://www.synopsys.com/blogs/software-security/cyrc-advisory-kasperksy-vpn-microsoft-windows/ Обновление до версии Kaspersky VPN Secure Connection 21.6 и новее. |
| Статус уязвимости | Подтверждена производителем |
| Наличие эксплойта | Данные уточняются |
| Способ эксплуатации |
|
| Способ устранения | Обновление программного обеспечения |
| Информация об устранении | Уязвимость устранена |
| Ссылки на источники | |
| Идентификаторы других систем описаний уязвимостей |
|
| Прочая информация | Данные уточняются |