CVE-2011-0026

Опубликовано: 12 янв. 2011

Источник: nvd

CVSS2: 9.3

EPSS Средний

Описание

Integer signedness error in the SQLConnectW function in an ODBC API (odbc32.dll) in Microsoft Data Access Components (MDAC) 2.8 SP1 and SP2, and Windows Data Access Components (WDAC) 6.0, allows remote attackers to execute arbitrary code via a long string in the Data Source Name (DSN) and a crafted szDSN argument, which bypasses a signed comparison and leads to a buffer overflow, aka "DSN Overflow Vulnerability."

Ссылки

Уязвимые конфигурации

Конфигурация 1

Одновременно

cpe:2.3:a:microsoft:data_access_components:2.8:sp1:*:*:*:*:*:*

cpe:2.3:o:microsoft:windows_xp:*:*:*:*:*:*:*:*

Конфигурация 2

Одновременно

cpe:2.3:a:microsoft:data_access_components:2.8:sp2:*:*:*:*:*:*

Одно из

cpe:2.3:o:microsoft:windows_2003_server:*:sp2:*:*:*:*:*:*

cpe:2.3:o:microsoft:windows_server_2003:*:sp2:*:*:*:*:*:*

cpe:2.3:o:microsoft:windows_xp:-:sp2:x64:*:*:*:*:*

Конфигурация 3

Одновременно

cpe:2.3:a:microsoft:windows_data_access_components:6.0:*:*:*:*:*:*:*

Одно из

cpe:2.3:o:microsoft:windows_7:-:*:*:*:*:*:*:*

cpe:2.3:o:microsoft:windows_server_2008:*:*:itanium:*:*:*:*:*

cpe:2.3:o:microsoft:windows_server_2008:*:*:x32:*:*:*:*:*

cpe:2.3:o:microsoft:windows_server_2008:*:*:x64:*:*:*:*:*

cpe:2.3:o:microsoft:windows_server_2008:*:sp2:x32:*:*:*:*:*

cpe:2.3:o:microsoft:windows_server_2008:*:sp2:x64:*:*:*:*:*

cpe:2.3:o:microsoft:windows_server_2008:-:sp2:itanium:*:*:*:*:*

cpe:2.3:o:microsoft:windows_server_2008:r2:*:itanium:*:*:*:*:*

cpe:2.3:o:microsoft:windows_server_2008:r2:*:x64:*:*:*:*:*

cpe:2.3:o:microsoft:windows_vista:*:sp1:*:*:*:*:*:*

cpe:2.3:o:microsoft:windows_vista:*:sp2:*:*:*:*:*:*

EPSS

Процентиль: 98%

0.64297

Средний

9.3 Critical

CVSS2

Дефекты

CWE-189

Связанные уязвимости

GHSA-g3pv-wmg4-q78r

github

почти 4 года назад

EPSS

Процентиль: 98%

0.64297

Средний

9.3 Critical

CVSS2

Дефекты

CWE-189