漏洞起因
输入验证错误
危险等级
低
影响系统
Dell DellSystemLite.ocx 1.0.0.0
不受影响系统
危害
远程攻击者可以利用漏洞以应用程序安全上下文执行任意代码。
攻击所需条件
攻击者必须构建恶意WEB页,诱使用户解析。
漏洞信息
Dell DellSystemLite.Scanner ActiveX控件存在多个安全漏洞,允许攻击者以应用程序上下文执行任意代码。
-"GetData()"方法存在输入验证错误,通过把目录遍历序列传递给"fileID"参数可获得目标用户系统上任意文本文件内容。
-不安全的"WMIAttributesOfInterest"属性,允许指派任意WMI查询语言命令,可借此获得类似安装软件等系统信息。
测试方法
厂商解决方案
目前没有详细解决方案提供:
http://www.dell.com/
漏洞提供者
Dmitriy Pletnev of Secunia Research.
0 条评论。