CVE-2017-8570

Microsoft Office RCE sérülékenysége
Angol cím: Microsoft Office RCE Vulnerability

Publikálás dátuma: 2017.07.11.
Utolsó módosítás dátuma: 2019.10.02.


Leírás

A program a tervezett memória puffer hátárán kívüli helyeken végezhet műveleteket.

Leírás forrása: CWE-119


Elemzés leírás

Eredeti nyelven: The vulnerability allows a remote attacker to execute arbitrary code on the target system. The vulnerability exists due to boundary error when processing Microsoft Office documents. A remote unauthenticated attacker can create a specially crafted Microsoft Office document, trick the victim into opening it, trigger memory corruption and execute arbitrary code on the target system. Successful exploitation of this vulnerability may result in complete compromise of vulnerable system.

Elemzés leírás forrása: CVE-2017-8570


Hatás

CVSS3.1 Súlyosság és Metrika

Alap pontszám: 7.8 (Magas)
Vektor: AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
Hatás pontszáma: 5.9
Kihasználhatóság pontszáma: 1.8


Támadás Vektora (AV): Helyi
Támadás komplexitása (AC): Alacsony
Jogosultság Szükséges (PR): Nincs
Felhasználói Interakció (UI): Szükséges
Hatókör (S): Nem változott
Bizalmasság Hatása (C): Magas
Sértetlenség Hatása (I): Magas
Rendelkezésre állás Hatása (A): Magas

Következmények

Loss of availability (Elérhetőség elvesztése)
Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)

Hivatkozások

microsoft.com

Sérülékeny szoftverek

Microsoft Office: 2007 - 2016


Legfrissebb sérülékenységek
CVE-2018-14933 – NUUO NVRmini Devices OS Command Injection sebezhetősége
CVE-2019-11001 – Reolink Multiple IP Cameras OS Command Injection sebezhetősége
CVE-2021-40407 – Reolink RLC-410W IP Camera OS Command Injection sebezhetősége
CVE-2024-20767 – Adobe ColdFusion Improper Access Control sebezhetősége
CVE-2024-55956 – Cleo Multiple Products Unauthenticated File Upload sebezhetősége
CVE-2024-50623 – Cleo Multiple Products Unrestricted File Upload sebezhetősége
CVE-2024-49138 – Windows Common Log File System Driver Elevation of Privilege sebezhetősége
CVE-2024-11639 – Ivanti CSA sérülékenysége
CVE-2024-42449 – Veeam Service Provider Console sérülékenysége
CVE-2024-42448 – Veeam Service Provider Console sérülékenysége
Tovább a sérülékenységekhez »