PT-2022-11683 · Stimulsoft · Stimulsoft Reports
Burninator
·
Publicado
2022-10-29
·
Atualizado
2022-11-01
·
CVE-2021-42777
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Stimulsoft (também conhecido como Stimulsoft Reports) versão 2013.1.1600.0
Descrição
A vulnerabilidade permite que um invasor execute código C# arbitrário em qualquer máquina que exiba um relatório, incluindo o servidor de aplicativos ou a máquina local de um usuário. Isso é demonstrado pelo uso de
System.Diagnostics.Process.Start.Recomendações
Para o Stimulsoft (também conhecido como Stimulsoft Reports) versão 2013.1.1600.0, considere desativar o Modo de Compilação como uma solução temporária até que um patch esteja disponível. Restrinja o acesso a relatórios e máquinas confidenciais para minimizar o risco de exploração. Evite usar a função
System.Diagnostics.Process.Start em relatórios até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.Exploit
Generation of Error Message Containing Sensitive Information
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Stimulsoft Reports