CVE-2011-10028Высокий
Поделиться ссылкой
Любой, у кого есть ссылка, сможет открыть эту уязвимость.
Платформа RealNetworks RealArcade включает в себя управление ActiveX (InstallerDlg.dll, версия 2.6.0.445), которое выставляет метод под наз…
CVSS
8.7
Высокий
EPSS
0.01
p60
Опубликовано
2011-01-01
Обновлено
2011-01-01
Описание
Платформа RealNetworks RealArcade включает в себя управление ActiveX (InstallerDlg.dll, версия 2.6.0.445), которое выставляет метод под названием Exec через объект StubbyUtil.ProcessMgr COM. Этот метод позволяет удаленным злоумышленникам выполнять произвольные команды на машине Windows жертвы без надлежащей проверки или ограничений. Эта платформа иногда упоминалась или иным образом называлась RealArcade или Arcade Games и с тех пор консолидировалась с платформой RealNetworks, GameHouse.
Теги · CWE
Без аутентификации
CWE-623
CWE-623ВариантЧерновик
Небезопасный элемент управления ActiveX, помеченный как безопасный для скриптов
Элемент управления ActiveX предназначен для ограниченного использования, однако помечен как безопасный для выполнения скриптов.
https://cwe.mitre.org/data/definitions/623.html →Открыть в коллекции CWE →Вектор CVSS
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:P/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
Хронология
2011-01-01
Опубликована
2011-01-01
Обновлена
Разбор CVSS 3.1
Вектор атаки
AV: N
Сеть (N)
Сложность атаки
AC: L
Низкая (L)
Требования к атаке
AT: N
None
Требуемые привилегии
PR: N
Отсутствуют (N)
Взаимодействие с пользователем
UI: P
Passive
Конфиденциальность уязвимой системы
VC: H
Высокое (H)
Целостность уязвимой системы
VI: H
Высокое (H)
Доступность уязвимой системы
VA: H
Высокое (H)
Конфиденциальность последующей системы
SC: N
Отсутствует (N)
Целостность последующей системы
SI: N
Отсутствует (N)
Доступность последующей системы
SA: N
Отсутствует (N)
Зрелость эксплойт-кода
E: X
Not Defined
Требование конфиденциальности
CR: X
Not Defined
Требование целостности
IR: X
Not Defined
Требование доступности
AR: X
Not Defined
Модифицированный вектор атаки
MAV: X
Not Defined
Модифицированная сложность атаки
MAC: X
Not Defined
Модифицированные требования к атаке
MAT: X
Not Defined
Модифицированные требуемые привилегии
MPR: X
Not Defined
Модифицированное взаимодействие с пользователем
MUI: X
Not Defined
Модифицированная конфиденциальность уязвимой системы
MVC: X
Not Defined
Модифицированная целостность уязвимой системы
MVI: X
Not Defined
Модифицированная доступность уязвимой системы
MVA: X
Not Defined
Модифицированная конфиденциальность последующей системы
MSC: X
Not Defined
Модифицированная целостность последующей системы
MSI: X
Not Defined
Модифицированная доступность последующей системы
MSA: X
Not Defined
s
S: X
X
au
AU: X
X
r
R: X
X
v
V: X
X
re
RE: X
X
u
U: X
X
Индикаторы эксплуатации
EPSS
0.011 · p60
Известна эксплуатация (KEV)
Нет
Проверки Сканер-ВС
Проверок Сканер-ВС для этой уязвимости в базе пока нет.
Нет уязвимостей под заданные фильтры.