CVE-2019-8275

Опубликовано: 08 мар. 2019

Источник: nvd

CVSS3: 9.8

CVSS2: 7.5

EPSS Низкий

Уязвимость некорректного окончания строк с нулевым значением в коде VNC-сервера UltraVNC, приводящая к доступу к данным за пределами допустимых границ

Описание

В UltraVNC выявлены множественные уязвимости некорректного окончания строк с нулевым значением в коде VNC-сервера. Эти уязвимости позволяют удаленным пользователям получить доступ к данным за пределами допустимых границ через сетевое подключение.

Затронутые версии ПО

UltraVNC релиз 1211 (исправлено в 1212)

Тип уязвимости

Доступ к данным за пределами границ

Ссылки

https://cert-portal.siemens.com/productcert/pdf/ssa-286838.pdf
https://cert-portal.siemens.com/productcert/pdf/ssa-927095.pdf
Third Party Advisory
https://cert-portal.siemens.com/productcert/pdf/ssa-940818.pdf
https://ics-cert.kaspersky.com/advisories/klcert-advisories/2019/03/01/klcert-19-022-ultravnc-improper-null-termination/
Third Party Advisory
https://us-cert.cisa.gov/ics/advisories/icsa-21-131-11
https://www.us-cert.gov/ics/advisories/icsa-20-161-06
Third Party Advisory
US Government Resource
https://cert-portal.siemens.com/productcert/pdf/ssa-286838.pdf
https://cert-portal.siemens.com/productcert/pdf/ssa-927095.pdf
Third Party Advisory
https://cert-portal.siemens.com/productcert/pdf/ssa-940818.pdf
https://ics-cert.kaspersky.com/advisories/klcert-advisories/2019/03/01/klcert-19-022-ultravnc-improper-null-termination/
Third Party Advisory
https://us-cert.cisa.gov/ics/advisories/icsa-21-131-11
https://www.us-cert.gov/ics/advisories/icsa-20-161-06
Third Party Advisory
US Government Resource

Уязвимые конфигурации

Конфигурация 1

cpe:2.3:a:uvnc:ultravnc:*:*:*:*:*:*:*:*

Версия до 1.2.2.3 (исключая)

Конфигурация 2

Одно из

cpe:2.3:a:siemens:sinumerik_access_mymachine\/p2p:*:*:*:*:*:*:*:*

Версия до 4.8 (исключая)

cpe:2.3:a:siemens:sinumerik_pcu_base_win10_software\/ipc:*:*:*:*:*:*:*:*

Версия до 14.00 (исключая)

cpe:2.3:a:siemens:sinumerik_pcu_base_win7_software\/ipc:*:*:*:*:*:*:*:*

Версия до 12.01 (включая)

EPSS

Процентиль: 89%

0.04492

Низкий

9.8 Critical

CVSS3

7.5 High

CVSS2

Дефекты

CWE-170

NVD-CWE-Other

Связанные уязвимости

GHSA-hhw7-p92g-vp7v

CVSS3: 9.8

github

больше 3 лет назад

UltraVNC revision 1211 has multiple improper null termination vulnerabilities in VNC server code, which result in out-of-bound data being accessed by remote users. This attack appears to be exploitable via network connectivity. These vulnerabilities have been fixed in revision 1212.

BDU:2020-02168

CVSS3: 9.8

fstec

почти 7 лет назад

Уязвимость программного средства управления удалёнными рабочими столами UltraVNC, входящего в состав блока мониторинга, контроля и удаленного обслуживания установок для коммерческого холодопроизводства TelevisGo, позволяющая нарушителю выполнить произвольный код

EPSS

Процентиль: 89%

0.04492

Низкий

9.8 Critical

CVSS3

7.5 High

CVSS2

Дефекты

CWE-170

NVD-CWE-Other