CSIRT Toscana Parallels Desktop: PoC pubblici per le CVE-2024-54189, CVE-2025-31359, CVE-2024-52561 e CVE-2024-36486 (AL01/250604/CSIRT-ITA)
Data:
5 Giugno 2026
Impatto Sistemico
Alto (74.1)
Sintesi
Ricercatori di sicurezza hanno recentemente rilevato 4 vulnerabilità con gravità “alta” in Parallels Desktop, software di virtualizzazione per sistemi macOS. Tali vulnerabilità, qualora sfruttate, potrebbero consentire ad un utente malintenzionato di scrivere file arbitrari sul filesystem ed elevare i propri privilegi sui sistemi interessati.
Tipologia
- Arbitrary File Write
- Elevation of Privilege
Descrizione e potenziali impatti
Disponibili Proof of Concept (PoC) per le CVE-2024-54189 , CVE-2025-31359 , CVE-2024-52561 e CVE-2024-36486 – già sanata dal vendor – presenti nel software Parallels Desktop. Le vulnerabilità interessano componenti e funzionalità riguardanti la gestione di snapshot, archivi di macchine virtuali e pacchetti PVMP.
Di seguito il dettaglio delle vulnerabilità:
CVE-2024-54189 : di tipo “ UNIX Hard Link ” e con score CVSS v3.1 pari a 7.8, risiede nella funzionalità di gestione degli snapshot. La vulnerabilità è dovuta alla scrittura, da parte di un servizio eseguito come root, di dati controllabili dall’utente in file associati alla VM. Un potenziale attaccante locale potrebbe indurre il servizio a scrivere su file arbitrari, ottenendo potenzialmente privilegi elevati sul sistema.
CVE-2025-31359 : di tipo “ Path Traversal ” e con score CVSS v3.1 pari a 8.8, risiede nella funzionalità di unpacking dei pacchetti PVMP . La vulnerabilità, qualora sfruttata, potrebbe consentire ad un attaccante locale di predisporre percorsi malevoli all’interno di un pacchetto VM, causando la scrittura di file al di fuori delle directory previste da parte di componenti eseguiti con privilegi root.
CVE-2024-52561 : di tipo “ Incorrect Ownership Assignment ” e con score CVSS v3.1 pari a 7.8, interessa la funzionalità di cancellazione degli snapshot. La vulnerabilità è legata alla gestione non sicura di symlink durante la modifica dell’ownership dei file. Un attaccante locale potrebbe indurre il servizio privilegiato a cambiare la proprietà di file o directory appartenenti a root, rendendoli modificabili o eliminabili da un utente non privilegiato.
CVE-2024-36486 : di tipo “ UNIX Hard Link ” e con score CVSS v3.1 pari a 7.8, interessa la funzionalità di ripristino/unarchive delle macchine virtuali. La vulnerabilità qualora sfruttata, potrebbe consentire ad un attaccante locale di abusare di hard link per far scrivere contenuti arbitrari all’interno di file presenti sul sistema, mediante componenti eseguiti con privilegi di root.
Prodotti e/o versioni affette
Parallels Desktop 20.x versioni precedenti alla 20.3.0 (build 55895)
Azioni di mitigazione
In linea con le dichiarazioni del vendor, si raccomanda di aggiornare i prodotti vulnerabili come indicato nel bollettino di sicurezza riportato nella sezione Riferimenti.
Riferimenti
- https://kb.parallels.com/en/125013
- https://www.parallels.com/it/products/desktop/download/
- https://www.talosintelligence.com/vulnerability_reports/TALOS-2024-2124
- https://www.talosintelligence.com/vulnerability_reports/TALOS-2025-2160
- https://www.talosintelligence.com/vulnerability_reports/TALOS-2024-2123
- https://www.talosintelligence.com/vulnerability_reports/TALOS-2024-2126
CVE
| CVE-ID | |||
|---|---|---|---|
| CVE-2024-52561 | CVE-2024-54189 | CVE-2025-31359 | CVE-2024-36486 |
Change log
| Versione | Note | Data |
|---|---|---|
| 1.0 | Pubblicato il 04-06-2025 | 04/06/2025 |
| 1.1 | Aggiornata la sezione “CVE” con presenza PoC per le CVE-2024-54189, CVE-2025-31359, CVE-2024-52561 e CVE-2024-36486. Ricalcolato impatto sistemico | 05/06/2026 |
Il presente articolo è un prodotto originale di csirt.gov.it, riproposto qui a solo scopo di aumentarne la visibilità. Può essere visualizzato in versione originale al seguente link
Ultimo aggiornamento
5 Giugno 2026, 12:32