Security Lab

Выполнение произвольных команд в kmz_ImportWithMesh.py Script for Blender

Дата публикации:05.03.2007
Дата изменения:19.05.2008
Всего просмотров:1398
Опасность:
Средняя
Наличие исправления: Да
Количество уязвимостей:1
CVE ID: Нет данных
Вектор эксплуатации: Удаленная
Воздействие: Компрометация системы
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты: kmz_ImportWithMesh.py Script for Blender 0.x
Уязвимые версии: kmz_ImportWithMesh.py Script for Blender версии до 0.1.9h

Описание:
Уязвимость позволяет удаленному пользователю выполнить произвольные команды на системе.

Уязвимость существует из-за небезопасного использования функции "eval()" в сценарии kmz_ImportWithMesh.py. Злоумышленник может обманом заставить пользователя произвести импорт "*.kml" или "*.kmz" файла и выполнить произвольные команды языка Python на системе. jmsoler.free.fr/didacticiel/blender/tutor/py_import_kml-kmz_en.htm

Решение: Установите последнюю версию 0.1.9h с сайта производителя.

Ссылки: kmz_ImportWithMesh.py Script for Blender Command Injection