Использование небезопасных методов в Hummingbird Deployment Wizard ActiveX компоненте

Дата публикации:
21.10.2008
Всего просмотров:
1330
Опасность:
Высокая
Наличие исправления:
Нет
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Удаленная
Воздействие:
Компрометация системы
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Hummingbird Deployment Wizard 2008
Уязвимые версии: Hummingbird Deployment Wizard 2008

Описание:
Уязвимость позволяет удаленному пользователю скомпрометировать целевую систему.

Уязвимость существует из-за того, что DeployRun.DeploymentSetup.1 (DeployRun.dll версии 10.0.0.44) ActiveX компонент использует небезопасные методы Run()", "SetRegistryValueAsString()" и "PerformUpdateAsync()". Удаленный пользователь может с помощью специально сформированного Web сайта изменить существующие ключи реестра и выполнить произвольные команды на системе.

URL производителя: connectivity.hummingbird.com/home/connectivity.html

Решение: Способов устранения уязвимости не существует в настоящее время.

Ссылки: Hummingbird Deployment Wizard 2008 ActiveX Command Execution
Hummingbird Deployment Wizard 2008 Registry Values Creation/Change
Hummingbird Deployment Wizard 2008 ActiveX File Execution(2)