Удаленное выполнение кода в EDraw PDF Viewer ActiveX компоненте

Дата публикации:	19.06.2009
Дата изменения:	30.06.2009
Всего просмотров:	1901
Опасность:	Высокая
Наличие исправления:	Да
Количество уязвимостей:	1
CVE ID:	CVE-2009-2169
Вектор эксплуатации:	Удаленная
Воздействие:	Компрометация системы
CWE ID:	Нет данных
Наличие эксплоита:	Нет данных
Уязвимые продукты:	EDraw PDF Viewer ActiveX Control 3.x
	Уязвимые версии: EDraw PDF Viewer ActiveX Control 3.x Описание: Обнаруженная уязвимость позволяет скомпрометировать систему целевого пользователя. Уязвимость связана с небезопасным методом "FtpDownloadFile()" в PDFVIEWER.PDFViewerCtrl.1 ActiveX компоненте (pdfviewer.ocx). В резльтате возможно загрузить произвольный файл в произвольное место на системе целевого пользователя, посетившего специально созданный Web сайт. Успешная эксплуатация позволяет выполнить произвольный код. URL производителя: http://www.edrawsoft.com/ Решение: Обновите программу до версии 3.2.0.126 Журнал изменений: 30.06.2009 Понижен рейтинг опасности, добавлен PoC код.
Ссылки:	EDraw PDF Viewer ActiveX Control FtpDownloadFile() Remote Code Execution PoC
	http://archives.neohapsis.com/archives/fulldisclosure/2009-06/0198.html

Удаленное выполнение кода в EDraw PDF Viewer ActiveX компоненте

Подпишитесь на email рассылку