Security Lab

Выполнение произвольных команд в Blender

Дата публикации:05.03.2007
Дата изменения:19.05.2008
Всего просмотров:1550
Опасность:
Средняя
Наличие исправления: Да
Количество уязвимостей:1
CVE ID: Нет данных
Вектор эксплуатации: Удаленная
Воздействие: Компрометация системы
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты: Blender 2.x
Уязвимые версии: Blender 2.42a, возможно более ранние версии.

Описание:
Уязвимость позволяет удаленному пользователю выполнить произвольные команды на системе.

Уязвимость существует из-за небезопасного использования функции "eval()" в сценарии kmz_ImportWithMesh.py. Злоумышленник может обманом заставить пользователя произвести импорт "*.kml" или "*.kmz" файла и выполнить произвольные команды языка Python на системе.

URL производителя: www.blender3d.org/cms/Blender.31.0.html

Решение: Установите последнюю версию (2.43) с сайта производителя.

Ссылки: Blender KML/KMZ Import Command Injection Vulnerability