プラットフォーム
php
コンポーネント
asprunner-professional
修正版
6.0.767
ASPRunner Professional のバージョン 6.0.766 に、DoS (サービス拒否) を引き起こす脆弱性が発見されました。この脆弱性は、プロジェクト名フィールドへの過剰な入力によって悪用され、アプリケーションをクラッシュさせます。現在、この脆弱性に対する公式なパッチは公開されていません。
CVE-2019-25659 は ASPRunner Professional バージョン 6.0.766 に影響を与え、ローカルなバッファオーバーフローの脆弱性を露呈させます。ローカルアクセス権を持つ攻撃者は、この弱点を悪用して、サービス拒否 (DoS) 攻撃を引き起こす可能性があります。この脆弱性は、新しいプロジェクトの作成中に過度に長いプロジェクト名を指定すると発生します。具体的には、'プロジェクト名' フィールドに 180 文字以上の文字を入力すると、アプリケーションがクラッシュする可能性があります。このクラッシュは、ユーザーの操作を中断し、システムの使用可能性に影響を与える可能性があります。この脆弱性はローカルアクセスを必要とするため、攻撃者はマシンに物理的に存在するか、有効な資格情報を持っている必要があります。影響の深刻度は、ASPRunner Professional で開発されたアプリケーションの重要性と、影響を受けたシステムの可用性によって異なります。
CVE-2019-25659 の悪用には、ASPRunner Professional 6.0.766 が実行されているシステムへのローカルアクセスが必要です。攻撃者は、マシンへの物理的なアクセス権を持っている場合、または十分な権限を持つユーザーの資格情報を侵害した場合に、この脆弱性を悪用する可能性があります。攻撃は、ASPRunner Professional で新しいプロジェクトを作成し、許可されている 180 文字を超えるプロジェクト名を入力することによって行われます。この過度に長い名前は、メモリ内のバッファオーバーフローを引き起こし、アプリケーションがクラッシュします。攻撃の単純さにより、ローカルアクセスが適切に制御されていない環境では、特に懸念されます。公式な修正プログラムがないため、ASPRunner Professional 6.0.766 のユーザーのリスクが高まります。
Developers and organizations using ASPRunner Professional version 6.0.766 are at risk. Those who frequently create new projects or allow users to create projects within the ASPRunner Professional environment are particularly vulnerable. Shared hosting environments where multiple users share the same ASPRunner Professional instance are also at increased risk.
• php / server:
grep -r 'Project name field' /path/to/asprunner/logs• php / server:
journalctl -u asprunner -g 'Project name field' |• generic web: Check application logs for crash events related to project creation, specifically looking for errors associated with memory allocation or buffer overflows.
disclosure
エクスプロイト状況
EPSS
0.01% (3% パーセンタイル)
CISA SSVC
CVSS ベクトル
現在、CVE-2019-25659 の開発者からの公式な修正プログラムはありません。主な軽減策は、利用可能な場合は ASPRunner Professional のより新しいバージョンにアップグレードすることです。開発者の Web サイトで更新プログラムまたはセキュリティパッチを確認してください。一時的な対策として、プロジェクトの作成中にプロジェクト名の長さを制限することをお勧めします。アプリケーションへの入力検証を実装して、'プロジェクト名' フィールドの最大長を制限することで、バッファオーバーフローを防ぐことができます。さらに、攻撃対象領域を減らすために、オペレーティングシステムおよびその他のアプリケーションを最新のセキュリティパッチで最新の状態に保つことが重要です。システムログを監視して、エラーや異常な動作を検出することも、潜在的な悪用試行を検出するのに役立ちます。
Actualice a una versión corregida de ASPRunner Professional. Consulte la documentación del proveedor (Xlinesoft) para obtener información sobre las versiones disponibles y los pasos de actualización. Evite usar la versión 6.0.766 hasta que se aplique la corrección.
脆弱性分析と重要アラートをメールでお届けします。
バッファオーバーフローは、プログラムがバッファに保持できるよりも多くのデータを書き込もうとすると発生し、隣接するメモリ領域が上書きされ、アプリケーションがクラッシュしたり、悪意のあるコードの実行が許可されたりする可能性があります。
いいえ、CVE-2019-25659 の悪用には、データベースへの直接アクセスは必要ありません。攻撃は、ASPRunner Professional アプリケーション自体に焦点を当てています。
ASPRunner Professional バージョン 6.0.766 を使用している場合は、脆弱です。システムログを監視して、予期しないアプリケーションのクラッシュを検出すると、悪用試行を示す可能性があります。
一時的な対策として、プロジェクト名の長さを制限し、アプリケーションへの入力検証を実装することを検討してください。
この特定の脆弱性に対処することに加えて、オペレーティングシステムおよびその他のアプリケーションを最新の状態に保ち、強力なパスワードを使用し、重要なシステムへのローカルアクセスを制限してください。