IBM Access Support ActiveX vezérlő "GetXMLValue()" puffer túlcsordulás

IBM Access Support ActiveX vezérlő “GetXMLValue()” puffer túlcsordulás

2009. március 24. 23:00

CH azonosító

CH-2056

Felfedezés dátuma

2009.03.24.

Súlyosság

Magas

Érintett rendszerek

Access Support ActiveX control (eGatherer)
IBM

Érintett verziók

IBM Access Support ActiveX control (eGatherer) 2.x, 3.x

Összefoglaló

Sérülékenységet jelentettek az IBM Access Support ActiveX vezérlőjében, amelyet kihasználva rosszindulatú támadók feltörhetik a felhasználó rendszerét.

Leírás

Sérülékenységet jelentettek az IBM Access Support ActiveX vezérlőjében, amelyet kihasználva rosszindulatú támadók feltörhetik a felhasználó rendszerét.

A sérülékenységet az ActiveX vezérlőben (IbmEgath.dll) lévő határhiba okozza a “GetXMLValue()” eljárás bemenetének feldolgozásakor. Ez kihasználható verem túlcsordulás előidézéséhez egy túl hosszú paraméter segítségével.

Sikeres kihasználás tetszőleges kód futtatását teheti lehetővé.

A sérülékenységet a 3.20.284.0. verzióban jelentették. Más verziók is érintettek lehetnek.

Legfrissebb sérülékenységek

CVE-2024-53104 – Linux Kernel sérülékenysége

CVE-2025-3464 – Asus Armoury Crate AsIO3.sys authorization bypass sérülékenysége

CVE-2025-4123 – Grafana cross-site scripting (XSS) sebezhetősége

CVE-2025-33073 – Windows SMB Client Elevation of Privilege sérülékenysége

CVE-2025-2254 – GitLab CE/EE sérülékenysége

CVE-2022-30190 – Microsoft Windows Support Diagnostic Tool (MSDT) Remote Code Execution sérülékenysége

CVE-2025-24016 – Wazuh Server Deserialization of Untrusted Data sérülékenysége

CVE-2025-33053 – Web Distributed Authoring and Versioning (WebDAV) External Control of File Name or Path sérülékenysége

CVE-2025-32433 – Erlang Erlang/OTP SSH Server Missing Authentication for Critical Function sérülékenysége

CVE-2024-42009 – RoundCube Webmail Cross-Site Scripting sérülékenysége

Tovább a sérülékenységekhez »

IBM Access Support ActiveX vezérlő “GetXMLValue()” puffer túlcsordulás