nvd,anchore_overrides
Wibu
Уязвимости
21
Эксплуатируемые
0
Критический
5
Высокий
11
Топ уязвимостей
CVE-2023-3935Уязвимость переполнения буфера кучи в сетевой службе Wibu CodeMeter Runtime до версии 7.60b позволяет не прошедшему проверку подлинности удаленному злоумышленнику добиться RCE и получить полный доступ к хост-системе.
CVE-2020-14517Шифрование протокола можно легко взломать для CodeMeter (затронуты все версии до 6.90, включая версию 6.90 или новее, только если CodeMeter Runtime работает как сервер), и сервер принимает внешние подключения, что может позволить злоумышленнику удаленно взаимодействовать с API CodeMeter.
CVE-2020-14509В CodeMeter (все версии до 7.10), где механизм синтаксического анализа пакетов не проверяет поля длины, существуют множественные уязвимости, связанные с повреждением памяти. Злоумышленник может отправить специально созданные пакеты для эксплуатации этих уязвимостей.
CVE-2018-3991В WibuKey Network server management версии 6.40.2402.500 существует уязвимость переполнения кучи, допускающая эксплуатацию, в функции WkbProgramLow. Специально разработанный TCP-пакет может вызвать переполнение кучи, что потенциально может привести к удаленному выполнению кода. Злоумышленник может отправить вредоносный TCP-пакет для эксплуатации этой уязвимости.
CVE-2021-20093Уязвимость переполнения буфера существует в Wibu-Systems CodeMeter версий < 7.21a. Не прошедший проверку подлинности удаленный злоумышленник может использовать эту проблему для раскрытия содержимого памяти кучи или сбоя CodeMeter Runtime Server.
CVE-2021-47810WibuKey Runtime 6.51 содержит некотируемую уязвимость пути обслуживания в сервисе WkSvW32.exe, которая позволяет локализованным злоумышленникам потенциально выполнять произвольный код. Злоба могут использовать некотируемый путь в 'C:\PROGRAM FILES (X86)\WIBUKEY\SERVER\WkSvW32.exe' для инъекции вредоносных исполняемых файлов и повышения привилегий.
CVE-2025-47809Уязвимость в CodeMeter до версии 8.30a позволяет повысить привилегии сразу после установки (до выхода из системы или перезагрузки). Для эксплуатации необходимо, чтобы установка была выполнена без повышенных привилегий с помощью UAC, и чтобы был установлен компонент CodeMeter Control Center, который не был перезапущен. В этом сценарии локальный пользователь может перейти из меню "Import License" в привилегированный экземпляр Windows Explorer [1].
Источники:
- [1] https://www.wibu.com/support/security-advisories/wibu-100120.html
CVE-2024-45181Обнаружена проблема в WibuKey64.sys в WIBU-SYSTEMS WibuKey до версии v6.70 и исправлена в версии v.6.70. Неправильная проверка границ позволяет специально созданным пакетам вызывать запись по произвольному адресу, что приводит к повреждению памяти ядра.
CVE-2018-3990В функциональности обработчика IOCTL 0x8200E804 WIBU-SYSTEMS WibuKey.sys версии 6.40 (сборка 2400) существует эксплуатируемая уязвимость повреждения пула. Специально созданный IRP-запрос может вызвать переполнение буфера, что приведет к повреждению памяти ядра и, потенциально, повышению привилегий. Злоумышленник может отправить IRP-запрос, чтобы вызвать эту уязвимость.
CVE-2021-20094Уязвимость типа «отказ в обслуживании» существует в Wibu-Systems CodeMeter версий < 7.21a. Не прошедший проверку подлинности удаленный злоумышленник может использовать эту проблему для сбоя CodeMeter Runtime Server.
CVE-2020-16233Злоумышленник может отправить специально созданный пакет, который может заставить CodeMeter (все версии до 7.10) отправлять обратно пакеты, содержащие данные из кучи.
CVE-2020-14519Эта уязвимость позволяет злоумышленнику использовать внутренний API WebSockets для CodeMeter (затронуты все версии до 7.00, включая версию 7.0 или новее с по-прежнему включенным затронутым API WebSockets. Это особенно актуально для систем или устройств, где веб-браузер используется для доступа к веб-серверу) через специально созданную полезную нагрузку Java Script, которая может позволить изменять или создавать файлы лицензий при объединении с CVE-2020-14515.
CVE-2020-14515CodeMeter (все версии до 6.90 при использовании файлов обновления CmActLicense с кодом фирмы CmActLicense) имеет проблему в механизме проверки подписи файла лицензии, которая позволяет злоумышленникам создавать произвольные файлы лицензий, включая подделку допустимого файла лицензии, как если бы это был допустимый файл лицензии существующего поставщика. Затронуты только файлы обновления CmActLicense с кодом фирмы CmActLicense.
CVE-2020-14513CodeMeter (все версии до 6.81) и использующее его программное обеспечение могут аварийно завершить работу во время обработки специально созданного файла лицензии из-за непроверенных полей длины.
CVE-2014-8419Wibu-Systems CodeMeter Runtime до 5.20 использует слабые разрешения (доступ на чтение и запись для всех пользователей) для codemeter.exe, что позволяет локальным пользователям получать привилегии через троянский файл.
CVE-2021-41057В WIBU CodeMeter Runtime до версии 7.30a создание специально созданной символической ссылки CmDongles перезапишет связанный файл без проверки разрешений.
CVE-2024-45182Обнаружена проблема в WibuKey64.sys в WIBU-SYSTEMS WibuKey до версии v6.70 и исправлена в версии v.6.70. Неправильная проверка границ позволяет специально созданным пакетам вызывать чтение по произвольному адресу, что приводит к отказу в обслуживании.
CVE-2018-3989В функциональности обработчика IOCTL 0x8200E804 WIBU-SYSTEMS WibuKey.sys версии 6.40 (сборка 2400) существует эксплуатируемая уязвимость раскрытия памяти ядра. Специально созданный IRP-запрос может привести к тому, что драйвер вернет неинициализированную память, что приведет к раскрытию памяти ядра. Злоумышленник может отправить IRP-запрос, чтобы вызвать эту уязвимость.
CVE-2017-13754Уязвимость межсайтового скриптинга (XSS) в модуле "advanced settings - time server" в Wibu-Systems CodeMeter до 6.50b позволяет удаленным злоумышленникам внедрять произвольный веб-скрипт или HTML через поле "server name" в actions/ChangeConfiguration.html.
CVE-2011-4057Wibu-Systems AG CodeMeter Runtime 4.30c, 4.10b и, возможно, другие версии до 4.40 позволяют удаленным злоумышленникам вызывать отказ в обслуживании (сбой CodeMeter.exe) через определенные специально созданные пакеты на TCP-порт 22350.
CVE-2011-3689Уязвимость межсайтового скриптинга (XSS) в Licenses.html в Wibu-Systems CodeMeter WebAdmin 3.30 и 4.30 позволяет удаленным злоумышленникам внедрять произвольный веб-скрипт или HTML через параметр BoxSerial.