Vulnerabilidad de gestión impropia de privilegios en Parallels Desktop
- Parallels Desktop, versiones anteriores a 19.3.0.
INCIBE ha coordinado la publicación de una vulnerabilidad de severidad alta que afecta a Parallels, versiones anteriores a 19.3.0, una solución para ejecutar aplicaciones de Windows, tanto en Chrome como en Mac, de forma totalmente virtual, la cual ha sido descubierta por Carlos Polop Martín.
A esta vulnerabilidad se le ha asignado el siguiente código, puntuación base CVSS v3.1, vector del CVSS y el tipo de vulnerabilidad CWE:
- CVE-2024-6240: 7.7 | CVSS:3.1/AV:N/AC:H/PR:L/UI:R/S:C/C:H/I:H/A:N | CWE-269.
La vulnerabilidad ha sido solucionada por el fabricante Parallels en la versión 19.3.0.
CVE-2024-6240: vulnerabilidad de gestión de privilegios inadecuada en Parallels Desktop Software, que afecta a las versiones anteriores a la 19.3.0. Un atacante podría agregar código malicioso en un script y completar la variable de entorno BASH_ENV con la ruta al script malicioso, ejecutándose al iniciar la aplicación. Un atacante podría aprovechar esta vulnerabilidad para aumentar los privilegios en el sistema.
