Codemeter
Уязвимости
10
Эксплуатируемые
0
Макс. CVSS
9.8
Макс. EPSS
0.33304
Распределение по критичности
Критический
3
Высокий
6
Средний
1
Низкий
0
Затронутые диапазоны версий
< 6.81< 6.90< 7.00< 7.10< 7.21a< 8.30a≤ 6.50a≤ 7.21a
Также сопоставлено как (исходные строки): codemeter
Топ уязвимостей
CVE-2020-14517Шифрование протокола можно легко взломать для CodeMeter (затронуты все версии до 6.90, включая версию 6.90 или новее, только если CodeMeter Runtime работает как сервер), и сервер принимает внешние подключения, что может позволить злоумышленнику удаленно взаимодействовать с API CodeMeter.
CVE-2020-14509В CodeMeter (все версии до 7.10), где механизм синтаксического анализа пакетов не проверяет поля длины, существуют множественные уязвимости, связанные с повреждением памяти. Злоумышленник может отправить специально созданные пакеты для эксплуатации этих уязвимостей.
CVE-2021-20093Уязвимость переполнения буфера существует в Wibu-Systems CodeMeter версий < 7.21a. Не прошедший проверку подлинности удаленный злоумышленник может использовать эту проблему для раскрытия содержимого памяти кучи или сбоя CodeMeter Runtime Server.
CVE-2025-47809Уязвимость в CodeMeter до версии 8.30a позволяет повысить привилегии сразу после установки (до выхода из системы или перезагрузки). Для эксплуатации необходимо, чтобы установка была выполнена без повышенных привилегий с помощью UAC, и чтобы был установлен компонент CodeMeter Control Center, который не был перезапущен. В этом сценарии локальный пользователь может перейти из меню "Import License" в привилегированный экземпляр Windows Explorer [1].
Источники:
- [1] https://www.wibu.com/support/security-advisories/wibu-100120.html
CVE-2021-20094Уязвимость типа «отказ в обслуживании» существует в Wibu-Systems CodeMeter версий < 7.21a. Не прошедший проверку подлинности удаленный злоумышленник может использовать эту проблему для сбоя CodeMeter Runtime Server.
CVE-2020-16233Злоумышленник может отправить специально созданный пакет, который может заставить CodeMeter (все версии до 7.10) отправлять обратно пакеты, содержащие данные из кучи.
CVE-2020-14519Эта уязвимость позволяет злоумышленнику использовать внутренний API WebSockets для CodeMeter (затронуты все версии до 7.00, включая версию 7.0 или новее с по-прежнему включенным затронутым API WebSockets. Это особенно актуально для систем или устройств, где веб-браузер используется для доступа к веб-серверу) через специально созданную полезную нагрузку Java Script, которая может позволить изменять или создавать файлы лицензий при объединении с CVE-2020-14515.
CVE-2020-14515CodeMeter (все версии до 6.90 при использовании файлов обновления CmActLicense с кодом фирмы CmActLicense) имеет проблему в механизме проверки подписи файла лицензии, которая позволяет злоумышленникам создавать произвольные файлы лицензий, включая подделку допустимого файла лицензии, как если бы это был допустимый файл лицензии существующего поставщика. Затронуты только файлы обновления CmActLicense с кодом фирмы CmActLicense.
CVE-2020-14513CodeMeter (все версии до 6.81) и использующее его программное обеспечение могут аварийно завершить работу во время обработки специально созданного файла лицензии из-за непроверенных полей длины.
CVE-2017-13754Уязвимость межсайтового скриптинга (XSS) в модуле "advanced settings - time server" в Wibu-Systems CodeMeter до 6.50b позволяет удаленным злоумышленникам внедрять произвольный веб-скрипт или HTML через поле "server name" в actions/ChangeConfiguration.html.