Уязвимость обнаружена в MTSoftware C-Lodop 6.6.1.1 на Windows. Оценена как критическая. Затрагивает неизвестный код компонента CLodopPrintS…
Уязвимость обнаружена в MTSoftware C-Lodop 6.6.1.1 на Windows. Оценена как критическая. Затрагивает неизвестный код компонента CLodopPrintService. Манипуляция неизвестным входом приводит к уязвимости unquoted search path. Атака должна быть проведена локально. Эксплойт был раскрыт общественности [1]. Для устранения уязвимости рекомендуется обновить C-Lodop до версии 6.6.13 или более поздней. Источники: - [1] https://0nightsedge0.github.io/2025/05/14/CVE-2025-4540-C-Lodop/ - [2] https://vuldb.com/?id.308285 - [3] https://vuldb.com/?ctiid.308285 - [4] https://vuldb.com/?submit.566789
Продукт осуществляет поиск критических ресурсов с использованием пути поиска, заданного извне, который может указывать на ресурсы, не находящиеся под непосредственным контролем продукта.
https://cwe.mitre.org/data/definitions/426.html →Открыть в коллекции CWE →В данном шаблоне атаки злоумышленник помещает вредоносный ресурс в стандартный путь программы таким образом, что при выполнении известной команды система вместо неё выполняет вредоносный компонент. Злоумышленник может либо изменить путь поиска, используемый программой, — например, переменную PATH или classpath, — либо манипулировать ресурсами в пути, указав их на свои вредоносные компоненты. J2EE-приложения и другие компонентные приложения, собираемые из множества двоичных файлов, могут иметь очень длинный список зависимостей для выполнения. Если одна из этих библиотек и/или ссылок подконтрольна злоумышленнику, то элементы управления приложением могут быть обойдены злоумышленником.
https://capec.mitre.org/data/definitions/38.html →Открыть в коллекции CAPEC →