Когда CVE это инцидент: затрояненный 3CX Desk­topApp (CVE-2023–29059). Это давнишняя мартовская история. Пример того, на что иногда могут выдать CVE идентификатор. 3CX Desk­topApp это десктопное приложение-мессенджер с возможностью совершать телефонные звонки. 29 марта этого года выяснилось, что некоторые версии этого приложения под Win­dows и MacOS были затроянены на стороне вендора. Качаешь приложения с официального сайта — получаешь троян (infos­teal­er). Классическая Sup­ply Chain Attack. Ситуация достаточно распространенная. Можно хотя бы вспомнить Free Down­load Man­ag­er. Но вот то, что под неё CVE завели — редкость.

Когда я попытался определить тип такой внесённой "уязвимости", это вогнало меня в лёгкий ступор. В описании только про "has embed­ded mali­cious code" и перечень версий. NVD также умыли руки и выставили NVD-CWE-noin­fo (Insuf­fi­cient Infor­ma­tion).

В итоге я решил, что раз злоумышленники получили эффект равный эксплуатации RCE, то пусть будет "как бы RCE". 🙂