CVE-2019-5032/5033/5041:Aspose远程执行代码漏洞警报


最近,思科Talos团队发布了几项技术分析,Aspose产品中的Aspose.cells和Aspose.words具有远程代码执行漏洞。 攻击者可以制作恶意文件以利用相关漏洞并在用户触发后远程执行代码。

CVE-2019-5032/5033/5041:Aspose远程执行代码漏洞警报

漏洞摘要

Aspose.Cells代码执行漏洞

CVE-2019-5032

CVSS 3.0 : 9.8

Aspose.Cells库中的LabelSst记录解析器中存在一个越界读取漏洞,攻击者可以使用特殊的XLS文件触发该漏洞,从而导致远程代码执行。 成功利用此漏洞需要用户的操作。

CVE-2019-5033

CVSS 3.0 : 9.8

此漏洞类似于CVE-2019-5032。

  • Affected version
Aspose.Cells 19.1.0

有关详细信息,请参阅:

  • https://www.talosintelligence.com/vulnerability_reports/TALOS-2019-0794
  • https://www.talosintelligence.com/vulnerability_reports/TALOS-2019-0795

Aspose.Words代码执行漏洞

CVE-2019-5041

Aspose Aspose.Words库的版本18.11.0.0的EnumMetaInfo函数中存在堆栈溢出漏洞。 特制的doc文件可能导致堆栈溢出,从而导致远程代码执行。 攻击者需要为受害者量身定制的文件才能触发此漏洞。

  • Affected version:
Aspose.Words 18.11.0.0

有关详细信息,请参阅:

https://www.talosintelligence.com/vulnerability_reports/TALOS-2019-0805

解决方法

根据研究人员的指示,Aspose官方并没有对上述漏洞做出回应,也没有发布相关补丁来修复上述漏洞。

linuxboy的RSS地址:https://www.linuxboy.net/rssFeed.aspx

本文永久更新链接地址:https://www.linuxboy.net/Linux/2019-08/160284.htm

相关内容

    暂无相关文章