Уязвимость состояния гонки между временем проверки и временем использования (TOCTOU) в Balena Etcher для Windows до версии 2.1.4 позволяет злоумышленникам повышать привилегии и выполнять произвольный код путем замены законного сценария созданной полезной нагрузкой во время процесса перепрошивки.
Показать оригинальное описание (EN)
A Time-of-Check to Time-of-Use (TOCTOU) race condition vulnerability in Balena Etcher for Windows prior to v2.1.4 allows attackers to escalate privileges and execute arbitrary code via replacing a legitimate script with a crafted payload during the flashing process.
Характеристики атаки
Способ атаки
Локальный
Нужен локальный доступ
Сложность
Высокая
Сложно эксплуатировать
Нужны права
Низкие
Нужны базовые права
Участие пользователя
Требуется
Нужно действие пользователя
Последствия
Конфиденциальность
Высокое
Полная утечка данных
Целостность
Высокое
Полная модификация данных
Доступность
Высокое
Полный отказ в обслуживании
Строка CVSS v3.1