← voltar
CVE-2015-2419

CVE-2015-2419

CVSS 8.8 HIGHEPSS 44.5%● KEVCWE-787
Vexday Risk Score
83Corrigir agora
Decisão SSVC (CISA)
Act
Exploração + impacto → ação imediata
CVSS 8.8EPSS 44.5%KEV simPoC públicaNuclei Metasploit Patch referenciado
Ciclo de vida
14 jul 2015Publicada no NVD
01 fev 2016PoC pública
28 mar 2022Exploração ativa (CISA KEV)
Recomendação: Corrigir o quanto antes — há exploração ativa confirmada.
Em resumo

Uma falha no mecanismo JScript 9 do Internet Explorer permite que atacantes executem código malicioso ou travem o navegador ao acessar um site especialmente preparado. O problema ocorre porque o navegador não gerencia corretamente a memória.

Detalhe técnico

O JScript 9 nos IE 10 e 11 apresenta uma vulnerabilidade de escrita fora dos limites (CWE-787) acionada por JavaScript malicioso em uma página web, resultando em execução de código arbitrário ou negação de serviço. O ataque requer interação do usuário (visitar o site) mas nenhuma autenticação prévia.

Resumo gerado e traduzido por IA a partir da descrição oficial.
JScript 9 in Microsoft Internet Explorer 10 and 11 allows remote attackers to execute arbitrary code or cause a denial of service (memory corruption) via a crafted web site, aka "JScript9 Memory Corruption Vulnerability."
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
Produtos afetados
n/a · n/a
PoCs públicas encontradas1
exploitdbwww.exploit-db.com/exploits/44743não verificado
⚠ Recursos públicos, para você avaliar a exposição de sistemas que controla ou está autorizado a testar. Teste apenas com autorização.

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →
Referências
https://docs.microsoft.com/en-us/security-updates/securitybulletins/2015/ms15-065https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2015-2419http://www.securitytracker.com/id/1032894