← voltar
CVE-2017-20211

UCanCode E-XD++ Visualization Enterprise Suite Untrusted Pointer Dereference RCE

CVSS 8.6 HIGHEPSS 0.6%CWE-823
Em resumo

O UCanCode E-XD++ Visualization Suite possui uma falha no seu controle ActiveX que permite a atacantes executar código malicioso no computador da vítima ao abrir uma página web ou arquivo manipulado. A vulnerabilidade ocorre porque o software não valida adequadamente os valores de ponteiros antes de usá-los.

Detalhe técnico

O controle ActiveX TKDRAWCAD.TKDrawCADCtrl.1 expõe um método RotateShape que desreferencia ponteiros fornecidos pelo usuário sem validação suficiente. Um atacante pode fornecer uma entrada manipulada para provocar dereferência arbitrária de ponteiros, alcançando execução remota de código no contexto do processo hospedeiro; a exploração requer interação do usuário para instanciar o controle via página web ou arquivo comprometido.

Resumo gerado e traduzido por IA a partir da descrição oficial.
UCanCode E-XD++ Visualization Enterprise Suite contains an untrusted pointer dereference vulnerability via the TKDRAWCAD.TKDrawCADCtrl.1 ActiveX control. This is because it exposes a RotateShape method that dereferences a user-supplied pointer without sufficient validation. A crafted input may cause the control to dereference an attacker-controlled pointer, enabling remote code execution in the context of the hosting process. The vulnerability requires user interaction (instantiation of the ActiveX control via a web page or a file).
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:A/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N
Produtos afetados
UCanCode.Net Software · E-XD++ Visualization Enterprise Suite

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →
Referências
https://www.ucancode.net/https://www.vulncheck.com/advisories/ucancode-e-xd-visualization-enterprise-suite-untrusted-pointer-dereference-rcehttps://www.zerodayinitiative.com/advisories/ZDI-17-422/