CRITICAL🇬🇧 English

CVE-2024-45167

RCE i DoS w UCI IDOL 2 przez improper input validation i deserializację

CVSS 9.8v3.1pub. 2024-08-22upd. 2025-09-03

UCI IDOL 2 (znane też jako uciIDOL lub IDOL2) w wersjach do 2.12 zawiera krytyczne podatności wynikające z nieprawidłowej walidacji danych wejściowych oraz nieprawidłowej deserializacji. Błędy te mogą prowadzić do ataków Denial-of-Service (DoS), a potencjalnie również do zdalnego wykonania kodu (RCE).

Pokaż oryginał (EN)

An issue was discovered in UCI IDOL 2 (aka uciIDOL or IDOL2) through 2.12. Due to improper input validation, improper deserialization, and improper restriction of operations within the bounds of a memory buffer, IDOL2 is vulnerable to Denial-of-Service (DoS) attacks and possibly remote code execution. A certain XmlMessage document causes 100% CPU consumption.

🤖 Analiza AI
Jak działa

Atakujący przesyła do aplikacji specjalnie spreparowany dokument XmlMessage, który powoduje 100% wykorzystanie zasobów procesora, doprowadzając do niedostępności usługi. Nieprawidłowa deserializacja danych oraz brak właściwej kontroli operacji w obszarze bufora pamięci stwarzają ponadto warunki do potencjalnego zdalnego wykonania kodu bez konieczności uwierzytelnienia. Wektor ataku jest sieciowy, nie wymaga interakcji użytkownika ani żadnych uprawnień.

Skutki

Atakujący może spowodować całkowitą niedostępność systemu (DoS) poprzez wyczerpanie zasobów procesora, a w scenariuszu wykorzystania błędu deserializacji — potencjalnie przejąć pełną kontrolę nad systemem poprzez zdalne wykonanie kodu (RCE).

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Zalecane jest sprawdzenie dostępności nowszej wersji klienta na stronie producenta (uci.de). Do czasu aktualizacji należy rozważyć ograniczenie dostępu sieciowego do usługi wyłącznie do zaufanych hostów za pomocą firewall.

Kogo dotyczy

UCI IDOL 2 (uciIDOL, IDOL2) w wersjach do 2.12 włącznie

Uwagi

Podatność została ujawniona zgodnie z polityką responsible disclosure przez firmę SySS GmbH (advisory SYSS-2024-050). Szczegółowy opis techniczny dostępny jest w referencjach pod adresem syss.de.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Uci Idol2

    APP
    Uci
    ≤ 2.12
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
RCEDeserialization
CWE
Referencje

Powiązane podatności

CVE-2024-45166CRITICAL9.8PL ✓ten sam produkt

RCE i DoS w UCI IDOL 2 przez błędną deserializację i przepełnienie bufora

CVE-2024-45168CRITICAL9.1PL ✓ten sam produkt

UCI IDOL 2: brak uwierzytelnienia w komunikacji przez raw socket

CVE-2024-45169CRITICAL9.8PL ✓ten sam produkt

RCE i DoS w UCI IDOL 2 przez nieprawidłową deserializację i walidację danych

CVE-2024-45165MEDIUM5.3ten sam produkt

An issue was discovered in UCI IDOL 2 (aka uciIDOL or IDOL2) through 2.12. Data is sent between client and ser...

CVE-2024-45167 — RCE i DoS w UCI IDOL 2 przez improper input validation i deserializację — CRITICAL 9.8 | CVEbaza.pl