Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

msrc логотип

CVE-2019-0790

Опубликовано: 09 апр. 2019
Источник: msrc
CVSS3: 7.8
EPSS Средний

Уязвимость удаленного выполнения кода в MS XML из-за некорректной обработки ввода данных парсером Microsoft XML Core Services

Описание

Злоумышленник, успешно эксплуатировавший уязвимость, способен выполнить вредоносный код удаленно и получить контроль над системой пользователя.

Условия эксплуатации

Чтобы воспользоваться уязвимостью, злоумышленник может разместить специально разработанный веб-сайт, предназначенный для вызова MSXML через веб-браузер. Однако злоумышленник не способен заставить пользователя посетить такой сайт. Вместо этого злоумышленник обычно должен убедить пользователя кликнуть по ссылке в электронном письме или мгновенном сообщении, что перенаправит пользователя на данный сайт. Когда Internet Explorer парсит XML-содержимое, злоумышленник способен выполнить вредоносный код удаленно и получить контроль над системой пользователя.

Решение

Обновление исправляет уязвимость путем корректировки обработки парсером MSXML пользовательского ввода.

Обновления

ПродуктСтатьяОбновление
Windows Server 2012
Windows Server 2012 (Server Core installation)
Windows 8.1 for 32-bit systems
Windows 8.1 for x64-based systems
Windows Server 2012 R2
Windows RT 8.1
-
Windows Server 2012 R2 (Server Core installation)
Windows 10 for 32-bit Systems
Windows 10 for x64-based Systems
Windows Server 2016

Показывать по

Возможность эксплуатации

Publicly Disclosed

No

Exploited

No

Latest Software Release

Exploitation Less Likely

Older Software Release

Exploitation Less Likely

EPSS

Процентиль: 96%
0.28171
Средний

7.8 High

CVSS3

Связанные уязвимости

CVSS3: 8.8
nvd
больше 6 лет назад

A remote code execution vulnerability exists when the Microsoft XML Core Services MSXML parser processes user input, aka 'MS XML Remote Code Execution Vulnerability'. This CVE ID is unique from CVE-2019-0791, CVE-2019-0792, CVE-2019-0793, CVE-2019-0795.

CVSS3: 8.8
github
около 3 лет назад

A remote code execution vulnerability exists when the Microsoft XML Core Services MSXML parser processes user input, aka 'MS XML Remote Code Execution Vulnerability'. This CVE ID is unique from CVE-2019-0791, CVE-2019-0792, CVE-2019-0793, CVE-2019-0795.

CVSS3: 8.8
fstec
больше 6 лет назад

Уязвимость компонента Microsoft XML Core Services MSXML операционной системы Windows, позволяющая нарушителю выполнить произвольный код

EPSS

Процентиль: 96%
0.28171
Средний

7.8 High

CVSS3