Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

nvd логотип

CVE-2019-8277

Опубликовано: 08 мар. 2019
Источник: nvd
CVSS3: 7.5
CVSS2: 5
EPSS Низкий

Уязвимость утечки информации в UltraVNC из-за множества утечек памяти в коде VNC-сервера

Описание

В UltraVNC версии ревизии 1211 существует несколько проблем утечки памяти (CWE-665) в коде VNC-сервера. Эта уязвимость позволяет злоумышленнику читать память стека и может быть использована для раскрытия информации. В сочетании с другой уязвимостью она используется для утечки стека памяти и обхода механизма рандомизации расположения стека (ASLR). Уязвимость осуществляется через сетевое подключение.

Затронутые версии ПО

  • UltraVNC релиза 1211 (исправлено в 1212)

Тип уязвимости

Утечка информации

Ссылки

Уязвимые конфигурации

Конфигурация 1
cpe:2.3:a:uvnc:ultravnc:*:*:*:*:*:*:*:*
Версия до 1.2.2.3 (исключая)
Конфигурация 2

Одно из

cpe:2.3:a:siemens:sinumerik_access_mymachine\/p2p:*:*:*:*:*:*:*:*
Версия до 4.8 (исключая)
cpe:2.3:a:siemens:sinumerik_pcu_base_win10_software\/ipc:*:*:*:*:*:*:*:*
Версия до 14.00 (исключая)
cpe:2.3:a:siemens:sinumerik_pcu_base_win7_software\/ipc:*:*:*:*:*:*:*:*
Версия до 12.01 (включая)

EPSS

Процентиль: 74%
0.00853
Низкий

7.5 High

CVSS3

5 Medium

CVSS2

Дефекты

CWE-665
CWE-665

Связанные уязвимости

github логотип

GHSA-w42q-f4mr-jhc4

CVSS3: 7.5
github
больше 3 лет назад

UltraVNC revision 1211 contains multiple memory leaks (CWE-665) in VNC server code, which allows an attacker to read stack memory and can be abused for information disclosure. Combined with another vulnerability, it can be used to leak stack memory and bypass ASLR. This attack appears to be exploitable via network connectivity. These vulnerabilities have been fixed in revision 1212.

EPSS

Процентиль: 74%
0.00853
Низкий

7.5 High

CVSS3

5 Medium

CVSS2

Дефекты

CWE-665
CWE-665