Quark Cloud Drive w wersji 3.23.2 zawiera podatność typu DLL Hijacking wynikającą z niezabezpieczonego ładowania bibliotek systemowych. Atakujący może doprowadzić do wykonania złośliwego kodu w kontekście aplikacji bez konieczności uwierzytelnienia.
▸ Pokaż oryginał (EN)
Quark Cloud Drive v3.23.2 has a DLL Hijacking vulnerability. This vulnerability stems from the insecure loading of system libraries. Specifically, the application does not validate the path or signature of [regsvr32.exe] it loads. An attacker can place a crafted malicious DLL in the application's startup directory, which will be loaded and executed when the user launches the program.
Aplikacja nie weryfikuje ścieżki ani podpisu cyfrowego pliku regsvr32.exe ładowanego podczas uruchamiania. Atakujący umieszcza spreparowaną złośliwą bibliotekę DLL w katalogu startowym aplikacji. Gdy użytkownik uruchomi program, system operacyjny odnajduje i ładuje podrzuconą bibliotekę zamiast prawidłowej, co skutkuje wykonaniem kodu zawartego w złośliwym pliku DLL.
Atakujący uzyskuje możliwość wykonania dowolnego kodu w kontekście uruchomionej aplikacji, co może prowadzić do pełnego przejęcia kontroli nad systemem, kradzieży danych lub eskalacji uprawnień.
Należy zastosować patche dostępne u producenta zgodnie z referencjami. Jako dodatkowe działanie ochronne zaleca się ograniczenie uprawnień zapisu do katalogu startowego aplikacji wyłącznie do kont administratorów oraz monitorowanie integralności plików w tym katalogu.
Quark Cloud Drive w wersji 3.23.2
Podatność została zgłoszona i udokumentowana w repozytorium GitHub (https://github.com/QIU-DIE/CVE/issues/5). Pomimo wysokiego wyniku CVSS 9.8, rzeczywiste wykorzystanie wymaga wcześniejszego uzyskania dostępu do systemu plików ofiary (zapisu do katalogu startowego aplikacji), co w praktyce obniża realny poziom zagrożenia w stosunku do wskazanego wektora CVSS AV:N.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HQuark Cloud Drive
APPQuark3.23.2