nvd
Kioware
Уязвимости
7
Эксплуатируемые
0
Критический
0
Высокий
5
Топ продуктов
Топ уязвимостей
CVE-2024-3459KioWare для Windows (все версии до 8.34) позволяет выйти из среды, загрузив PDF-файлы, которые затем по умолчанию открываются во внешнем средстве просмотра PDF. Используя встроенные функции этого средства просмотра, можно запустить веб-браузер, выполнить поиск по локальным файлам и, следовательно, запустить любую программу с привилегиями пользователя.
CVE-2023-34642В KioWare для Windows до версии v8.33 обнаружен неполный фильтр черного списка для заблокированных диалоговых окон в Windows 10. Эта проблема может позволить злоумышленникам открыть диалоговое окно файла с помощью функции showDirectoryPicker(), которое затем можно использовать для открытия командной строки без повышенных привилегий.
CVE-2023-34641В KioWare для Windows до версии v8.33 обнаружен неполный фильтр черного списка для заблокированных диалоговых окон в Windows 10. Эта проблема может позволить злоумышленникам открыть диалоговое окно файла с помощью функции window.print(), которое затем можно использовать для открытия командной строки без повышенных привилегий.
CVE-2018-18435KioWare Server версии 4.9.6 и старше устанавливается по умолчанию в "C:\kioware_com" со слабыми разрешениями для папки, предоставляющими любому пользователю полные права "Everyone: (F)" на содержимое каталога и его подпапок. Кроме того, программа устанавливает службу под названием "KWSService", которая работает как "Localsystem", это позволит любому пользователю повысить привилегии до "NT AUTHORITY\SYSTEM", заменив двоичный файл службы на вредоносный.
CVE-2024-3460В KioWare для Windows (все версии до 8.34) можно выйти из этого программного обеспечения и использовать другие уже открытые приложения, используя короткий промежуток времени до принудительного автоматического выхода из системы. Затем, используя некоторые встроенные функции этих приложений, можно запустить любые другие программы. Чтобы воспользоваться этой уязвимостью, внешние приложения должны оставаться запущенными при запуске программного обеспечения KioWare. Кроме того, злоумышленник должен знать PIN-код, установленный для этого экземпляра Kioware, а также замедлить работу приложения с помощью некоторой конкретной задачи, которая увеличивает полезный промежуток времени.
CVE-2024-3461KioWare для Windows (все версии до 8.35) позволяет перебирать PIN-код, который защищает приложение от закрытия, поскольку нет механизмов, предотвращающих чрезмерное угадывание номера пользователем.
CVE-2022-44875KioWare до версии 8.33 в Windows устанавливает KioScriptingUrlACL.AclActions.AllowHigh для источника about:blank, что позволяет злоумышленникам получить доступ SYSTEM через KioUtils.Execute в коде JavaScript.