BDU:2019-00112

Уязвимость библиотеки atlcore_.dll системы управления ресурсами предприятия Галактика ERP связана с архитектурными слабостями в обработчиках удаленного вызова процедур, заключающимися в том, что при передаче адресов в памяти между клиентом и сервером может быть осуществлен вызов кода и прочитано содержимое памяти по произвольному адресу. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно и прошедшему процедуру аутентификации, доставить в память сервера шеллкод и передать на него управление путем вычисления выражения на языке VIP и записи в адресное пространство сервера произвольного набора байт с раскрытием адреса, по которому была произведена запись (API-функция sqlAddStr)