CVE-2024-12742

Deserialization of Untrusted Data Vulnerability in NI G Web Development Software

CVSS 8.4 HIGHEPSS 5.4%CWE-502

Em resumo

Uma falha no software NI G Web Development permite que invasores executem código malicioso no computador do usuário se o convencerem a abrir um arquivo de projeto manipulado. O problema ocorre porque o software processa dados de arquivos não confiáveis de forma insegura.

Detalhe técnico

Esta vulnerabilidade CWE-502 no NI G Web Development Software (versão 2022 Q3 e anteriores) permite execução arbitrária de código através de arquivos de projeto maliciosos. O vetor de ataque requer interação do usuário (abertura de arquivo manipulado); uma vez que dados não validados são desserializados, objetos arbitrários podem ser instanciados, resultando em execução de código remoto com privilégios do usuário afetado.

Resumo gerado e traduzido por IA a partir da descrição oficial.

A deserialization of untrusted data vulnerability exists in NI G Web Development Software that may result in arbitrary code execution.  Successful exploitation requires an attacker to get a user to open a specially crafted project file.  This vulnerability affects G Web Development Software 2022 Q3 and prior versions.

CVSS:4.0/AV:L/AC:L/AT:N/PR:N/UI:A/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/AU:N

Produtos afetados

NI · G Web Development Software

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →

Referências

https://www.ni.com/en/support/security/available-critical-and-security-updates-for-ni-software/deserialization-of-untrusted-data-vulnerability-in-ni-g-web-deve.html