Когда CVE это инцидент: затрояненный 3CX DesktopApp (CVE-2023-29059). Это давнишняя мартовская история. Пример того, на что иногда могут выдать CVE идентификатор. 3CX DesktopApp это десктопное приложение-мессенджер с возможностью совершать телефонные звонки. 29 марта этого года выяснилось, что некоторые версии этого приложения под Windows и MacOS были затроянены на стороне вендора. Качаешь приложения с официального сайта - получаешь троян (infostealer). Классическая Supply Chain Attack. Ситуация достаточно распространенная. Можно хотя бы вспомнить Free Download Manager. Но вот то, что под неё CVE завели - редкость.
Когда я попытался определить тип такой внесённой "уязвимости", это вогнало меня в лёгкий ступор. В описании только про "has embedded malicious code" и перечень версий. NVD также умыли руки и выставили NVD-CWE-noinfo (Insufficient Information).
В итоге я решил, что раз злоумышленники получили эффект равный эксплуатации RCE, то пусть будет "как бы RCE". 🙂
Привет! Меня зовут Александр. Я специалист по Управлению Уязвимостями. Подробнее обо мне можно прочитать здесь. Приглашаю подписаться на мой канал в Telegram @avleonovrus. Я обновляю его чаще, чем этот сайт. Вы можете обсудить мои посты или задать вопросы в @avleonovchat или в группе ВКонтакте.
And I invite all English-speaking people to another telegram channel @avleonovcom.
Уведомление: Аксиома обновления до последней версии ПО | Александр В. Леонов