Oracle Hyperion Strategic Finance Formula One ActiveX vezérlő “SetDevNames()” puffer túlcsordulás sérülékenység

2011. november 8. 08:16

CH azonosító

CH-5909

Angol cím

Oracle Hyperion Strategic Finance Formula One ActiveX Control "SetDevNames()" Buffer Overflow

Felfedezés dátuma

2011.11.06.

Súlyosság

Magas

Érintett rendszerek

Hyperion Strategic Finance
Oracle

Érintett verziók

Oracle Hyperion Strategic Finance 11.x
Oracle Hyperion Strategic Finance Formula One ActiveX Control 6.x

Összefoglaló

Az Oracle Hyperion Strategic Finance olyan sérülékenysége vált ismertté, melyet kihasználva a támadók feltörhetik a felhasználó rendszerét.

Leírás

A sérülékenységet egy határhiba okozza a Formula One ActiveX vezérlő (TTF16.ocx) “SetDevNames()” eljárásában. Ez kihasználható halom túlcsordulás előidézésére egy túl hosszú string átadásával pl. a “DriverName” paraméterben.

Sikeres kihasználás esetén tetszőleges kód futtatható.

A sérülékenységet a 11.1.2.1.0. verzióban (TTF16.ocx 6.3.5.1. verzió) igazolták.

Legfrissebb sérülékenységek

CVE-2025-59505 – Windows Smart Card Reader Elevation of Privilege sérülékenysége

CVE-2025-59511 – Windows WLAN Service Elevation of Privilege sérülékenysége

CVE-2021-26828 – OpenPLC ScadaBR Unrestricted Upload of File with Dangerous Type sérülékenysége

CVE‑2025‑13486 – WordPress Advanced Custom Fields: Extended plugin sérülékenység

CVE-2025-8489 – WordPress King Addons for Elementor plugin sérülékenysége

CVE-2025-9491 – Microsoft Windows LNK File UI Misrepresentation Remote Code Execution sebezhetősége

CVE-2024-53104 – Linux Kernel sérülékenysége

CVE-2021-26829 – OpenPLC ScadaBR Cross-site Scripting sérülékenysége

CVE-2024-53375 – TP-Link sérülékenysége

CVE-2025-4581 – Liferay sérülékenysége

Tovább a sérülékenységekhez »

Oracle Hyperion Strategic Finance Formula One ActiveX vezérlő “SetDevNames()” puffer túlcsordulás sérülékenység