vcpkg — бесплатный менеджер пакетов C/C++ с открытым исходным кодом. До версии 3.6.1#3 сборки OpenSSL для Windows от vcpkg задавали openssldir в качестве пути на машине сборки, что делало этот путь впоследствии уязвимым для атаки на машинах клиентов. Эта проблема исправлена в версии 3.6.1#3.
Показать оригинальное описание (EN)
vcpkg is a free and open-source C/C++ package manager. Prior to version 3.6.1#3, vcpkg's Windows builds of OpenSSL set openssldir to a path on the build machine, making that path be attackable later on customer machines. This issue has been patched in version 3.6.1#3.
Характеристики атаки
Способ атаки
Локальный
Нужен локальный доступ
Сложность
Низкая
Легко эксплуатировать
Нужны права
Низкие
Нужны базовые права
Участие пользователя
Не требуется
Не нужно действие пользователя
Последствия
Конфиденциальность
Высокое
Полная утечка данных
Целостность
Высокое
Полная модификация данных
Доступность
Высокое
Полный отказ в обслуживании
Строка CVSS v3.1