Risques
- Atteinte à l'intégrité des données
- Exécution de code arbitraire
- Élévation de privilèges
Systèmes affectés
- ESET NOD32 Antivirus, ESET Internet Security, ESET Smart Security Premium versions 11.2 et suiuvantes antérieures à 15.1.12.0
- ESET Endpoint Antivirus and ESET Endpoint Security versions 6.0 et suivantes antérieures à 9.0.2046.0, 8.1.2050.0 et 8.0.2053.0
- ESET Server Security for Microsoft Windows Server versions 8.0 et suivantes antérieures à 9.0.12012.0
- ESET File Security for Microsoft Windows Server versions 6.0 et suivantes antérieures à 8.0.12013.0
- ESET Mail Security for Microsoft Exchange Server versions 6.0 et suivantes antérieures à 8.0.10020.0
- ESET Mail Security for IBM Domino versions 6.0 et suivantes antéirieures à 8.0.14011.0
- ESET Security for Microsoft SharePoint Server versions 6.0 et suivantes antérieures à 8.0.15009.0
- ESET Server Security for Microsoft Azure version 6.0 et suivantes
L'éditeur conseille aux utilisateurs de la solution ESET Server Security for Microsoft Azure de migrer vers ESET Server Security for Microsoft Windows Server.
Résumé
De multiples vulnérabilités ont été découvertes dans les produits ESET. Elles permettent à un attaquant de provoquer une exécution de code arbitraire, une atteinte à l'intégrité des données et une élévation de privilèges.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité ESET du 09 mai 2022 https://support.eset.com/en/ca8268-local-privilege-escalation-vulnerabilities-in-installers-for-eset-products-for-windows-fixed
- Référence CVE CVE-2021-37851 https://www.cve.org/CVERecord?id=CVE-2021-37851
- Référence CVE CVE-2022-27167 https://www.cve.org/CVERecord?id=CVE-2022-27167
