InduSoft ISSymbol ActiveX vezérlő többszörös puffer túlcsordulás sérülékenysége

2011. szeptember 1. 08:19

CH azonosító

CH-5479

Angol cím

InduSoft ISSymbol ActiveX Control Multiple Buffer Overflow Vulnerabilities

Felfedezés dátuma

2011.08.31.

Súlyosság

Magas

Érintett rendszerek

ISSymbol ActiveX Control
InduSoft
Web Studio

Érintett verziók

InduSoft ISSymbol ActiveX control
InduSoft Web Studio 7.x

Összefoglaló

Az InduSoft ISSymbol ActiveX vezérlő több sérülékenységét jelentették, amit kihasználva a támadók feltörhetik a felhasználó rendszerét.

Leírás

Az “Open()” egy határérték hibáját kihasználva, az eljárásnak átadott túlságosan hosszú string változóval halom túlcsordulást lehet okozni.
Az “Close()” egy határérték hibáját kihasználva, az eljárásnak átadott túlságosan hosszú string változóval halom túlcsordulást lehet okozni.
Az “SetCurrentLanguage()” egy határérték hibáját kihasználva, az eljárásnak átadott túlságosan hosszú string változóval verem túlcsordulást lehet okozni.

A hibák sikeres kihasználása tetszőleges kód futtatását teszi lehetővé.

A sérülékenységeket az InduSoft Web Studio 7.0B2 hotfix 7.0.01.04. kiadásban használt ISSymbol.ocx 301.1104.601.0. verziójában igazolták.

Legfrissebb sérülékenységek

CVE-2024-53104 – Linux Kernel sérülékenysége

CVE-2024-57727 – SimpleHelp Path Traversal sebezhetősége

CVE-2024-53704 – SonicOS SSLVPN Authentication Bypass sebezhetősége

CVE-2025-1094 – PostgreSQL sérülékenysége

CVE-2025-21377 – NTLM Hash Disclosure Spoofing sebezhetősége

CVE-2025-21194 – Microsoft Surface Security Feature Bypass sebezhetősége

CVE-2025-21418 – Windows Ancillary Function Driver for WinSock Elevation of Privilege sebezhetősége

CVE-2025-21391 – Windows Storage Elevation of Privilege sebezhetősége

CVE-2025-0108 – Palo Alto Networks PAN-OS sérülékenysége

CVE-2024-52875 – KerioControl CRLF injection sebezhetősége

Tovább a sérülékenységekhez »

InduSoft ISSymbol ActiveX vezérlő többszörös puffer túlcsordulás sérülékenysége