PT-2020-19828 · Infraware · Infraware Ml Report
Jongsub Park
·
Publicado
2020-12-16
·
Atualizado
2020-12-18
·
CVE-2020-7837
CVSS v3.1
8.8
Alta
| Vetor | AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Infraware ML Report versão 2.19.312.0000
Descrição
Foi descoberta uma vulnerabilidade no programa ML Report, na qual ocorre um estouro de buffer baseado em pilha na função sub 41EAF0 no MLReportDeamon.exe. Isso ocorre porque a função chama vsprintf sem verificar o comprimento das strings nos parâmetros fornecidos por um invasor, levando a um estouro de buffer baseado em pilha por meio do acesso a uma página da web maliciosa.
Recomendações
Para o Infraware ML Report versão 2.19.312.0000, considere desativar a função sub 41EAF0 no MLReportDeamon.exe como uma solução temporária até que um patch esteja disponível. Restrinja o acesso a páginas da web maliciosas para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Memory Corruption
Stack Overflow
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Infraware Ml Report