CVE-2021-31010

CVSS 7.5 HIGHEPSS 3.7%● KEVCWE-502

Vexday Risk Score

51Atención

Decisión SSVC (CISA)

Act

Explotación + impacto → acción inmediata

CVSS 7.5EPSS 3.7%KEV simPoC —Nuclei —Metasploit —Patch —

Ciclo de vida

24 ago 2021Publicada en NVD

25 ago 2022Explotación activa (CISA KEV)

Recomendación: Corregir cuanto antes — hay explotación activa confirmada.

En resumen

Un programa en dispositivos Apple podía eludir restricciones de seguridad al procesar datos no confiables inadecuadamente. Esto permitía que una aplicación confinada escapara de sus limitaciones y potencialmente accediera a información sensible.

Detalle técnico

Vulnerabilidad de deserialización (CWE-502) en procesos confinados de macOS, iOS, iPadOS y watchOS que permite eludir el aislamiento del sandbox mediante falta de validación de objetos serializados. El ataque requiere ejecución dentro de un contexto confinado pero logra romper el confinamiento; fue explotada activamente antes de la corrección.

Resumen generado y traducido por IA a partir de la descripción oficial.

A deserialization issue was addressed through improved validation. This issue is fixed in Security Update 2021-005 Catalina, iOS 12.5.5, iOS 14.8 and iPadOS 14.8, macOS Big Sur 11.6, watchOS 7.6.2. A sandboxed process may be able to circumvent sandbox restrictions. Apple was aware of a report that this issue may have been actively exploited at the time of release..

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N

Productos afectados

Apple · macOS Apple · watchOS

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →

Referencias

https://support.apple.com/en-us/HT212804 https://support.apple.com/en-us/HT212805 https://support.apple.com/en-us/HT212806 https://support.apple.com/en-us/HT212807 https://support.apple.com/en-us/HT212824 https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2021-31010