Krytyczna podatność typu buffer overflow (CWE-120) w wtyczce przeglądarki internetowej dołączonej do oprogramowania Hikvision LocalServiceComponents. Atakujący zdalnie, bez uwierzytelnienia, może doprowadzić do wykonania dowolnego kodu lub awarii wtyczki.
▸ Pokaż oryginał (EN)
There is a buffer overflow vulnerability in a web browser plug-in could allow an attacker to exploit the vulnerability by sending crafted messages to computers installed with this plug-in, which could lead to arbitrary code execution or cause process exception of the plug-in.
Podatność polega na przepełnieniu bufora w kodzie wtyczki przeglądarki. Atakujący wysyła specjalnie spreparowane wiadomości do komputera z zainstalowaną wtyczką, co powoduje przekroczenie dozwolonych granic bufora pamięci. W efekcie możliwe jest nadpisanie krytycznych struktur danych w pamięci procesu, prowadząc do wykonania dowolnego kodu (RCE) lub wywołania wyjątku i awarii procesu wtyczki.
Atakujący może zdalnie wykonać dowolny kod na komputerze ofiary (RCE) lub spowodować awarię procesu wtyczki przeglądarki, co skutkuje utratą dostępności. Podatność umożliwia również kompromitację poufności danych przetwarzanych przez aplikację.
Należy zastosować patche dostępne u producenta zgodnie z referencjami — szczegółowe informacje o zaktualizowanych wersjach wtyczki dostępne są w komunikacie bezpieczeństwa Hikvision pod adresem wskazanym w referencjach.
Komputery z zainstalowaną wtyczką przeglądarki internetowej Hikvision LocalServiceComponents; szczegółowe wersje wskazane w referencjach producenta.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:HHikvision Localservicecomponents
APPHikvision≤ 1.0.0.78
Powiązane podatności
An attacker could exploit a vulnerability by sending crafted messages to computers installed with this plug-in...
A command injection vulnerability in the web server of some Hikvision product. Due to the insufficient input v...
An Improper Authentication issue was discovered in Hikvision DS-2CD2xx2F-I Series V5.2.0 build 140721 to V5.4....
Some Hikvision Hybrid SAN/Cluster Storage products have an access control vulnerability which can be used to o...
The web server of some Hikvision wireless bridge products have an access control vulnerability which can be us...