CA Output Management Web Viewer ActiveX vezérlő sérülékenységek

CH azonosító

CH-4800

Angol cím

CA Output Management Web Viewer ActiveX Control Vulnerabilities

Felfedezés dátuma

2011.04.20.

Súlyosság

Magas

Érintett rendszerek

Computer Associates (CA)
Output Management Web Viewer

Érintett verziók

CA Output Management Web Viewer 11.0 , 11.5
CA Output Management PPSViewer ActiveX control 1.x
CA Output Management UOMWV_Helper ActiveX control 2.x

Összefoglaló

A CA Output Management Web Viewer két sérülékenységét jelentették, amiket kihasználva támadók feltörhetik a felhasználó rendszerét.

Leírás

  1. Az UOMWV_Helper ActiveX vezérlőben (UOMWV_HelperActiveX.ocx) egy határérték hiba lép fel egy olyan új email üzenetet létrehozásakor, aminek a “Title” tulajdonsága egy túlságosan hosszú stringet tartalmaz. Ezt kihasználva verem túlcsordulást lehet előidézni.
  2. Az PPSViewer ActiveX vezérlőben (PPSView.ocx) egy határérték hiba lép fel, amikor egy olyan új debug üzenet jön létre, amely “SRC” paraméterének egy túlságosan hosszú string változót küldenek. Ezt kihasználva verem túlcsordulást lehet előidézni.

A hibák sikeres kihasználása tetszőleges kód futtatását teszi lehetővé.

A sérülékenységeket az r11.0 SP1 verzióban igazolták, de az r11.5 verzióban is megtalálhatóak:

  • UOMWV_HelperActiveX.ocx 2.0.0.6
  • PPSView.ocx 1.0.0.6

Megoldás

Telepítse a javítócsomagokat

Legfrissebb sérülékenységek
CVE-2024-53104 – Linux Kernel sérülékenysége
CVE-2025-20114 – Cisco Unified Intelligence Center Privilege Escalation sebezhetősége
CVE-2025-20113 – Cisco Unified Intelligence Center Privilege Escalation sebezhetősége
CVE-2025-20152 – Cisco Identity Services Engine RADIUS Denial of Service sérülékenysége
CVE-2025-4632 – Samsung MagicINFO 9 Server Path Traversal sérülékenysége
CVE-2023-38950 – ZKTeco BioTime Path Traversal sérülékenysége
CVE-2025-27920 – Srimax Output Messenger Directory Traversal sérülékenysége
CVE-2025-4428 – Ivanti Endpoint Manager Mobile (EPMM) Code Injection sérülékenysége
CVE-2025-4427 – Ivanti Endpoint Manager Mobile (EPMM) Authentication Bypass sérülékenysége
CVE-2024-27443 – Synacor Zimbra Collaboration Suite (ZCS) Cross-Site Scripting (XSS) sérülékenysége
Tovább a sérülékenységekhez »