Удаленное выполнение кода в EDraw PDF Viewer ActiveX компоненте

Дата публикации:
19.06.2009
Дата изменения:
30.06.2009
Всего просмотров:
1568
Опасность:
Высокая
Наличие исправления:
Да
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Удаленная
Воздействие:
Компрометация системы
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
EDraw PDF Viewer ActiveX Control 3.x

Уязвимые версии: EDraw PDF Viewer ActiveX Control 3.x

Описание:
Обнаруженная уязвимость позволяет скомпрометировать систему целевого пользователя.
Уязвимость связана с небезопасным методом "FtpDownloadFile()" в PDFVIEWER.PDFViewerCtrl.1 ActiveX компоненте (pdfviewer.ocx). В резльтате возможно загрузить произвольный файл в произвольное место на системе целевого пользователя, посетившего специально созданный Web сайт. Успешная эксплуатация позволяет выполнить произвольный код.

URL производителя: http://www.edrawsoft.com/

Решение: Обновите программу до версии 3.2.0.126

Журнал изменений:

30.06.2009
Понижен рейтинг опасности, добавлен PoC код.

Ссылки: EDraw PDF Viewer ActiveX Control FtpDownloadFile() Remote Code Execution PoC
http://archives.neohapsis.com/archives/fulldisclosure/2009-06/0198.html

или введите имя

CAPTCHA