Plateforme
php
Composant
asprunner-professional
Corrigé dans
6.0.767
CVE-2019-25659 décrit un dépassement de tampon local présent dans ASPRunner Professional. Cette vulnérabilité permet à un attaquant de provoquer un déni de service en soumettant un nom de projet excessivement long, par exemple, 180 caractères ou plus, lors de la création d'un projet. La vulnérabilité affecte les versions 6.0.766–6.0.766 d'ASPRunner Professional et aucune correction officielle n'est actuellement disponible.
CVE-2019-25659 affecte ASPRunner Professional version 6.0.766, exposant une vulnérabilité de débordement de tampon local. Un attaquant ayant un accès local au système peut exploiter cette faiblesse pour provoquer un déni de service (DoS). La vulnérabilité se manifeste lorsqu'un nom de projet excessivement long est fourni lors de la création d'un nouveau projet. Plus précisément, la saisie de 180 caractères ou plus dans le champ 'Nom du projet' peut déclencher un plantage de l'application, entraînant sa fermeture inattendue. Ce plantage peut perturber les opérations de l'utilisateur et potentiellement affecter la disponibilité du système. Il est crucial de comprendre que cette vulnérabilité nécessite un accès local, ce qui signifie que l'attaquant doit être présent sur la machine ou avoir des informations d'identification valides pour l'exploiter. La gravité de l'impact dépend de la criticité des applications développées avec ASPRunner Professional et de la disponibilité du système affecté.
L'exploitation de CVE-2019-25659 nécessite un accès local au système sur lequel ASPRunner Professional 6.0.766 est en cours d'exécution. Un attaquant pourrait exploiter cette vulnérabilité s'il a un accès physique à la machine ou s'il a compromis les informations d'identification d'un utilisateur disposant de privilèges suffisants. L'attaque consiste à créer un nouveau projet dans ASPRunner Professional et à saisir un nom de projet qui dépasse les 180 caractères autorisés. Ce nom excessivement long provoque un débordement de tampon dans la mémoire, entraînant un plantage de l'application. La simplicité de l'attaque en fait une préoccupation, en particulier dans les environnements où l'accès local n'est pas suffisamment contrôlé. L'absence d'un correctif officiel augmente le risque pour les utilisateurs d'ASPRunner Professional 6.0.766.
Developers and organizations using ASPRunner Professional version 6.0.766 are at risk. Those who frequently create new projects or allow users to create projects within the ASPRunner Professional environment are particularly vulnerable. Shared hosting environments where multiple users share the same ASPRunner Professional instance are also at increased risk.
• php / server:
grep -r 'Project name field' /path/to/asprunner/logs• php / server:
journalctl -u asprunner -g 'Project name field' |• generic web: Check application logs for crash events related to project creation, specifically looking for errors associated with memory allocation or buffer overflows.
disclosure
Statut de l'Exploit
EPSS
0.01% (percentile 3%)
CISA SSVC
Vecteur CVSS
Actuellement, il n'existe aucun correctif (fix) officiel fourni par le développeur pour CVE-2019-25659. L'atténuation principale consiste à mettre à niveau vers une version plus récente d'ASPRunner Professional si elle est disponible. Consultez le site Web du développeur pour obtenir des mises à jour ou des correctifs de sécurité. En tant que mesure temporaire, il est recommandé de limiter la longueur du nom du projet lors de la création. La mise en œuvre d'une validation des entrées dans l'application pour restreindre la longueur maximale du champ 'Nom du projet' peut aider à prévenir le débordement de tampon. De plus, il est important de maintenir le système d'exploitation et les autres applications à jour avec les derniers correctifs de sécurité afin de réduire la surface d'attaque. La surveillance des journaux système à la recherche d'erreurs ou de comportements inhabituels peut également aider à détecter les tentatives d'exploitation potentielles.
Actualice a una versión corregida de ASPRunner Professional. Consulte la documentación del proveedor (Xlinesoft) para obtener información sobre las versiones disponibles y los pasos de actualización. Evite usar la versión 6.0.766 hasta que se aplique la corrección.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
Un débordement de tampon se produit lorsqu'un programme tente d'écrire plus de données dans un tampon que celui-ci ne peut contenir, en écrasant des zones de mémoire adjacentes et en provoquant potentiellement un plantage de l'application ou en permettant l'exécution de code malveillant.
Non, l'exploitation de CVE-2019-25659 ne nécessite pas d'accès direct à la base de données. L'attaque se concentre sur l'application ASPRunner Professional elle-même.
Si vous utilisez ASPRunner Professional version 6.0.766, vous êtes vulnérable. La surveillance des journaux système à la recherche de plantages inattendus de l'application pourrait indiquer une tentative d'exploitation.
En tant que mesure temporaire, limitez la longueur des noms de projet et envisagez de mettre en œuvre une validation des entrées dans l'application.
En plus de traiter cette vulnérabilité spécifique, assurez-vous que votre système d'exploitation et les autres applications sont à jour, utilisez des mots de passe forts et limitez l'accès local aux systèmes critiques.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.