Plattform
php
Komponente
asprunner-professional
Behoben in
6.0.767
CVE-2019-25659 describes a local buffer overflow vulnerability affecting ASPRunner Professional versions 6.0.766. An attacker can trigger a denial-of-service condition by providing an excessively long project name during project creation. The vulnerability was published on 2026-04-05. A fix is available via upgrade to a patched version.
CVE-2019-25659 betrifft ASPRunner Professional Version 6.0.766 und offenbart eine lokale Pufferüberlauf-Schwachstelle. Ein Angreifer mit lokalem Zugriff auf das System kann diese Schwäche ausnutzen, um einen Denial-of-Service (DoS)-Zustand zu verursachen. Die Schwachstelle tritt auf, wenn ein übermäßig langer Projektname bei der Erstellung eines neuen Projekts angegeben wird. Insbesondere kann die Eingabe von 180 oder mehr Zeichen in das Feld 'Projektname' zu einem Anwendungsabsturz führen. Dieser Absturz kann Benutzeroperationen stören und potenziell die Verfügbarkeit des Systems beeinträchtigen. Es ist wichtig zu verstehen, dass diese Schwachstelle lokalen Zugriff erfordert, d. h. der Angreifer muss sich auf dem Computer befinden oder gültige Anmeldeinformationen haben, um sie auszunutzen. Die Schwere des Einfalls hängt von der Kritikalität der mit ASPRunner Professional entwickelten Anwendungen und der Verfügbarkeit des betroffenen Systems ab.
Die Ausnutzung von CVE-2019-25659 erfordert lokalen Zugriff auf das System, auf dem ASPRunner Professional 6.0.766 ausgeführt wird. Ein Angreifer könnte diese Schwachstelle ausnutzen, wenn er physischen Zugriff auf den Computer hat oder die Anmeldeinformationen eines Benutzers mit ausreichenden Berechtigungen kompromittiert hat. Der Angriff besteht darin, ein neues Projekt in ASPRunner Professional zu erstellen und einen Projektnamen einzugeben, der 180 Zeichen überschreitet. Dieser übermäßig lange Name verursacht einen Pufferüberlauf im Speicher, was zu einem Anwendungsabsturz führt. Die Einfachheit des Angriffs macht ihn bedenklich, insbesondere in Umgebungen, in denen der lokale Zugriff nicht ausreichend kontrolliert wird. Das Fehlen einer offiziellen Lösung erhöht das Risiko für Benutzer von ASPRunner Professional 6.0.766.
Developers and organizations using ASPRunner Professional version 6.0.766 are at risk. Those who frequently create new projects or allow users to create projects within the ASPRunner Professional environment are particularly vulnerable. Shared hosting environments where multiple users share the same ASPRunner Professional instance are also at increased risk.
• php / server:
grep -r 'Project name field' /path/to/asprunner/logs• php / server:
journalctl -u asprunner -g 'Project name field' |• generic web: Check application logs for crash events related to project creation, specifically looking for errors associated with memory allocation or buffer overflows.
disclosure
Exploit-Status
EPSS
0.01% (3% Perzentil)
CISA SSVC
CVSS-Vektor
Derzeit gibt es keine offizielle Lösung (Fix) vom Entwickler für CVE-2019-25659. Die primäre Abschwächung besteht darin, auf eine neuere Version von ASPRunner Professional zu aktualisieren, falls verfügbar. Überprüfen Sie die Website des Entwicklers auf Updates oder Sicherheitspatches. Als vorübergehende Maßnahme wird empfohlen, die Länge des Projektnamens bei der Erstellung zu begrenzen. Die Implementierung einer Eingabevalidierung in der Anwendung, um die maximale Länge des Felds 'Projektname' einzuschränken, kann dazu beitragen, den Pufferüberlauf zu verhindern. Darüber hinaus ist es wichtig, das Betriebssystem und andere Anwendungen mit den neuesten Sicherheitspatches auf dem neuesten Stand zu halten, um die Angriffsfläche zu verringern. Die Überwachung der Systemprotokolle auf Fehler oder ungewöhnliches Verhalten kann ebenfalls dazu beitragen, potenzielle Ausnutzungsversuche zu erkennen.
Actualice a una versión corregida de ASPRunner Professional. Consulte la documentación del proveedor (Xlinesoft) para obtener información sobre las versiones disponibles y los pasos de actualización. Evite usar la versión 6.0.766 hasta que se aplique la corrección.
Schwachstellenanalysen und kritische Warnungen direkt in deinen Posteingang.
Ein Pufferüberlauf tritt auf, wenn ein Programm versucht, mehr Daten in einen Puffer zu schreiben, als er aufnehmen kann, wodurch benachbarte Speicherbereiche überschrieben werden und potenziell ein Anwendungsabsturz verursacht oder die Ausführung von bösartigem Code ermöglicht wird.
Nein, die Ausnutzung von CVE-2019-25659 erfordert keinen direkten Zugriff auf die Datenbank. Der Angriff konzentriert sich auf die ASPRunner Professional-Anwendung selbst.
Wenn Sie ASPRunner Professional Version 6.0.766 verwenden, sind Sie anfällig. Die Überwachung der Systemprotokolle auf unerwartete Anwendungsabstürze könnte einen Ausnutzungsversuch anzeigen.
Als vorübergehende Maßnahme begrenzen Sie die Länge der Projektnamen und erwägen Sie, eine Eingabevalidierung in der Anwendung zu implementieren.
Zusätzlich zur Behebung dieser spezifischen Schwachstelle stellen Sie sicher, dass Ihr Betriebssystem und andere Anwendungen auf dem neuesten Stand sind, verwenden Sie starke Passwörter und beschränken Sie den lokalen Zugriff auf kritische Systeme.
Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.