Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

nvd логотип

CVE-2019-8259

Опубликовано: 05 мар. 2019
Источник: nvd
CVSS3: 7.5
CVSS2: 5
EPSS Низкий

Уязвимость утечки информации через множественные утечки памяти в клиенте VNC в UltraVNC

Описание

В UltraVNC релиза 1198 обнаружены несколько утечек памяти в коде VNC-клиента. Эти уязвимости позволяют злоумышленнику читать память стека и могут использоваться для раскрытия информации. В сочетании с другой уязвимостью это может быть использовано для утечки стека памяти и обхода ASLR (Address Space Layout Randomization). Для эксплуатации этой уязвимости возможно использование сетевого подключения.

Затронутые версии ПО

  • UltraVNC ревизии 1198 (исправлено в версии 1199)

Тип уязвимости

Утечка информации

Ссылки

Уязвимые конфигурации

Конфигурация 1
cpe:2.3:a:uvnc:ultravnc:*:*:*:*:*:*:*:*
Версия до 1.2.2.3 (исключая)
Конфигурация 2

Одно из

cpe:2.3:a:siemens:sinumerik_access_mymachine\/p2p:*:*:*:*:*:*:*:*
Версия до 4.8 (исключая)
cpe:2.3:a:siemens:sinumerik_pcu_base_win10_software\/ipc:*:*:*:*:*:*:*:*
Версия до 14.00 (исключая)
cpe:2.3:a:siemens:sinumerik_pcu_base_win7_software\/ipc:*:*:*:*:*:*:*:*
Версия до 12.01 (включая)

EPSS

Процентиль: 74%
0.00821
Низкий

7.5 High

CVSS3

5 Medium

CVSS2

Дефекты

CWE-665
CWE-401

Связанные уязвимости

github логотип

GHSA-mhxq-j55c-q97g

CVSS3: 7.5
github
больше 3 лет назад

UltraVNC revision 1198 contains multiple memory leaks (CWE-655) in VNC client code, which allow an attacker to read stack memory and can be abused for information disclosure. Combined with another vulnerability, it can be used to leak stack memory and bypass ASLR. This attack appears to be exploitable via network connectivity. These vulnerabilities have been fixed in revision 1199.

EPSS

Процентиль: 74%
0.00821
Низкий

7.5 High

CVSS3

5 Medium

CVSS2

Дефекты

CWE-665
CWE-401