CVE-2020-27932

CVSS 7.8 HIGHEPSS 10.3%● KEVCWE-843

Vexday Risk Score

76Prioridad alta

Decisión SSVC (CISA)

Act

Explotación + impacto → acción inmediata

CVSS 7.8EPSS 10.3%KEV simPoC públicaNuclei —Metasploit —Patch —

Ciclo de vida

08 dic 2020Publicada en NVD

03 nov 2021Explotación activa (CISA KEV)

Recomendación: Corregir cuanto antes — hay explotación activa confirmada.

En resumen

Una vulnerabilidad de confusión de tipos en sistemas Apple permite que una aplicación maliciosa ejecute código con los privilegios más altos del sistema. Esto es grave porque deja a los atacantes con control total de tu dispositivo.

Detalle técnico

Vulnerabilidad CWE-843 de confusión de tipos en el manejo de estado de Apple permite que una aplicación maliciosa local eludir verificaciones de tipo y ejecutar código arbitrario en contexto de kernel. Requiere una app maliciosa ya instalada en el sistema; la explotación resulta en escalación de privilegios y comprometimiento total del sistema.

Resumen generado y traducido por IA a partir de la descripción oficial.

A type confusion issue was addressed with improved state handling. This issue is fixed in macOS Big Sur 11.0.1, watchOS 7.1, iOS 12.4.9, watchOS 6.2.9, Security Update 2020-006 High Sierra, Security Update 2020-006 Mojave, iOS 14.2 and iPadOS 14.2, watchOS 5.3.9, macOS Catalina 10.15.7 Supplemental Update, macOS Catalina 10.15.7 Update. A malicious application may be able to execute arbitrary code with kernel privileges.

CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

Productos afectados

Apple · iOS and iPadOS Apple · macOS Apple · watchOS

PoCs públicas encontradas — 1

cve_referencepacketstormsecurity.com/files/161295/XNU-Kernel-Turnstiles-Type-Confusion.htmlno verificado

⚠ Recursos públicos, para evaluar la exposición de sistemas que controlas o estás autorizado a probar. Prueba solo con autorización.

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →

Referencias