CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2022-4991

HighCVSS 7.4
Published: Updated: Translated: NVD NIST

Summary

Tychon zawiera komponent OpenSSL, który określa zmienną OPENSSLDIR jako podkatalog, który może być kontrolowany przez użytkownika bez uprawnień na systemie Windows. Usługa z uprawnieniami w Tychon wykorzystuje ten komponent OpenSSL, co może prowadzić do wykonania dowolnego kodu z uprawnieniami SYSTEM.

Risk Assessment

Organizacja może być narażona na poważne zagrożenie, ponieważ nieautoryzowany użytkownik może wykorzystać tę podatność do uzyskania pełnych uprawnień w systemie. To może prowadzić do przejęcia kontroli nad systemem i dostępu do wrażliwych danych.

Recommendation

Zaleca się ograniczenie dostępu do katalogu, w którym znajduje się zmienna OPENSSLDIR oraz monitorowanie i kontrolowanie plików konfiguracyjnych OpenSSL. Należy również rozważyć aktualizację komponentu OpenSSL w Tychon, aby usunąć tę podatność.

Original NVD description (English source)

Tychon includes an OpenSSL component that specifies an OPENSSLDIR variable as a subdirectory that may be controllable by an unprivileged user on Windows. Tychon contains a privileged service that uses this OpenSSL component. A user who can place a specially-crafted openssl.cnf file at an appropriate path may be able to achieve arbitrary code execution with SYSTEM privileges.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS