PT-2024-8711 · Kingsoft · Kingsoft Wps Office
Romain Dumont
·
Publicado
2024-05-23
·
Atualizado
2025-04-28
·
CVE-2024-7263
CVSS v4.0
9.3
Crítica
| Vetor | AV:L/AC:L/AT:N/PR:N/UI:P/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/AU:N |
Nome do software vulnerável e versões afetadas
Kingsoft WPS Office, versões 12.2.0.13110 a 12.2.0.17119
Descrição
O problema está relacionado à validação incorreta do caminho no arquivo promecefpluginhost.exe, permitindo que um invasor carregue uma biblioteca arbitrária do Windows. Isso pode levar à execução de código arbitrário. O patch lançado para mitigar o problema não era restritivo o suficiente, e outro parâmetro não foi devidamente sanitizado, levando à execução de uma biblioteca arbitrária do Windows.
Recomendações
Para as versões do Kingsoft WPS Office de 12.2.0.13110 a 12.2.0.17119, atualize para uma versão posterior à 12.2.0.17119 para resolver o problema. Como solução alternativa temporária, considere restringir o acesso ao arquivo promecefpluginhost.exe para minimizar o risco de exploração.
Correção
Path traversal
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Kingsoft Wps Office