平台
c
组件
spotauditor
修复版本
3.6.8
CVE-2019-25666 是一个影响 SpotAuditor 3.6.7 的本地缓冲区溢出漏洞,位于Base64密码解码器组件中。攻击者可以通过向解码器接口提交一个过大的Base64字符串来触发拒绝服务。该漏洞影响 SpotAuditor 3.6.7 版本,目前尚未发布官方补丁。
CVE-2019-25666 影响 SpotAuditor 版本 3.6.7,在其 Base64 密码解码组件中存在本地缓冲区溢出漏洞。此漏洞允许本地攻击者使应用程序崩溃,从而导致拒绝服务 (DoS) 状态。问题在于 SpotAuditor 处理传入 Base64 字符串的方式,允许过长的字符串覆盖分配的内存,导致程序终止。此漏洞的严重程度评分为 CVSS 6.2,表明存在中等风险。由于没有可用的修复程序 (fix),缓解措施侧重于限制 SpotAuditor 运行的系统上的本地访问。
利用 CVE-2019-25666 需要对运行 SpotAuditor 3.6.7 的系统具有本地访问权限。攻击者可以通过在密码解码接口中提供过长的 Base64 字符串来利用此漏洞。当易受攻击的组件处理此字符串时,会触发缓冲区溢出,导致应用程序失败。攻击者无需提升权限即可利用此漏洞,只要他们具有本地访问权限即可。利用的难度相对较低,因为它需要创建和提交恶意 Base64 字符串,但影响很大,会导致拒绝服务。
漏洞利用状态
EPSS
0.01% (3% 百分位)
CISA SSVC
CVSS 向量
由于 SpotAuditor 3.6.7 中 CVE-2019-25666 没有官方修复程序,主要的缓解措施是基于边界安全和访问控制措施。强烈建议限制 SpotAuditor 运行的系统上的本地访问。实施严格的访问控制,例如多因素身份验证和最小权限原则,可以帮助防止本地攻击者利用此漏洞。监控系统活动以查找异常行为也很关键。如果可用,请考虑升级到 SpotAuditor 的较新版本,这将是长期最有效的解决方案。网络分段也可以限制潜在利用的影响。
Actualice SpotAuditor a una versión corregida que solucione la vulnerabilidad de desbordamiento de búfer en el componente de decodificación de contraseñas Base64. Consulte la documentación del proveedor o su sitio web para obtener información sobre las actualizaciones disponibles.
漏洞分析和关键警报直接发送到您的邮箱。
缓冲区溢出发生在程序尝试在分配的内存缓冲区边界之外写入数据时,从而覆盖相邻数据并可能导致程序崩溃。
“DoS”代表“拒绝服务”。这是一种旨在使网络服务或资源对合法用户不可用的攻击。
目前,SpotAuditor 开发人员没有为 CVE-2019-25666 提供官方修复程序。
限制系统上的本地访问,实施严格的访问控制,并监控系统活动以查找异常行为。
如果您正在使用 SpotAuditor 3.6.7,请实施上述缓解措施,并在可用时考虑升级到较新版本。