Security Lab

Компрометация системы в TVMOBiLi

Дата публикации:19.12.2012
Всего просмотров:1782
Опасность:
Средняя
Наличие исправления: Да
Количество уязвимостей:2
CVSSv2 рейтинг: 2.9 (AV:A/AC:M/Au:N/C:N/I:N/A:P/E:U/RL:O/RC:C)
7.9 (AV:A/AC:M/Au:N/C:C/I:C/A:C/E:U/RL:O/RC:C)
CVE ID: Нет данных
Вектор эксплуатации: Локальная сеть
Воздействие: Отказ в обслуживании
Компрометация системы
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты: TVMOBiLi 2.x
Уязвимые версии: TVMOBiLi 2.1.3557, возможно другие версии.

Описание:
Уязвимость позволяет удаленному пользователю выполнить произвольный код на целевой системе.

1. Уязвимость существует из-за ошибки в методе "CHTTPServerTransaction::LoadResource()" в HttpUtils.dll, возникающей при обработке web-запросов. Удаленный пользователь может вызвать ограниченное переполнение буфера в стеке.

2. Уязвимость существует из-за ошибки проверки границ данных в методе "CHTTPServerTransaction::LoadFile()" в HttpUtils.dll, возникающей при обработке web-запросов. Удаленный пользователь может скомпрометировать целевую систему.

URL производителя: http://www.tvmobili.com/

Решение: Установите последнюю версию 2.1.3974 с сайта производителя.

Ссылки: http://dev.tvmobili.com/changelog.php
http://forum.tvmobili.com/viewtopic.php?f=7&t=55117
https://www.htbridge.com/advisory/HTB23120