CVE-2021-31010

CVSS 7.5 HIGHEPSS 3.7%● KEVCWE-502

Vexday Risk Score

51Atenção

Decisão SSVC (CISA)

Act

Exploração + impacto → ação imediata

CVSS 7.5EPSS 3.7%KEV simPoC —Nuclei —Metasploit —Patch —

Ciclo de vida

24 ago 2021Publicada no NVD

25 ago 2022Exploração ativa (CISA KEV)

Recomendação: Corrigir o quanto antes — há exploração ativa confirmada.

Em resumo

Um programa nos dispositivos Apple conseguia ignorar restrições de segurança ao processar dados não confiáveis de forma inadequada. Isso permitia que um app confinado escapasse de suas limitações e potencialmente acessasse informações sensíveis.

Detalhe técnico

Vulnerabilidade de desserialização (CWE-502) em processos confinados do macOS, iOS, iPadOS e watchOS permite contornar o isolamento de sandbox por falta de validação adequada de objetos serializados. O ataque requer execução dentro de um contexto confinado, mas consegue romper o confinamento; foi explorada ativamente antes da correção.

Resumo gerado e traduzido por IA a partir da descrição oficial.

A deserialization issue was addressed through improved validation. This issue is fixed in Security Update 2021-005 Catalina, iOS 12.5.5, iOS 14.8 and iPadOS 14.8, macOS Big Sur 11.6, watchOS 7.6.2. A sandboxed process may be able to circumvent sandbox restrictions. Apple was aware of a report that this issue may have been actively exploited at the time of release..

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N

Produtos afetados

Apple · macOS Apple · watchOS

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →

Referências

https://support.apple.com/en-us/HT212804 https://support.apple.com/en-us/HT212805 https://support.apple.com/en-us/HT212806 https://support.apple.com/en-us/HT212807 https://support.apple.com/en-us/HT212824 https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2021-31010