最近,思科Talos团队发布了几项技术分析,Aspose产品中的Aspose.cells和Aspose.words具有远程代码执行漏洞。 攻击者可以制作恶意文件以利用相关漏洞并在用户触发后远程执行代码。
漏洞摘要
Aspose.Cells代码执行漏洞
CVE-2019-5032
CVSS 3.0 : 9.8
Aspose.Cells库中的LabelSst记录解析器中存在一个越界读取漏洞,攻击者可以使用特殊的XLS文件触发该漏洞,从而导致远程代码执行。 成功利用此漏洞需要用户的操作。
CVE-2019-5033
CVSS 3.0 : 9.8
此漏洞类似于CVE-2019-5032。
Affected version
Aspose.Cells 19.1.0
有关详细信息,请参阅:
Aspose.Words代码执行漏洞CVE-2019-5041
Aspose Aspose.Words库的版本18.11.0.0的EnumMetaInfo函数中存在堆栈溢出漏洞。 特制的doc文件可能导致堆栈溢出,从而导致远程代码执行。 攻击者需要为受害者量身定制的文件才能触发此漏洞。
Affected version:
Aspose.Words 18.11.0.0
有关详细信息,请参阅:
https://www.talosintelligence.com/vulnerability_reports/TALOS-2019-0805
解决方法根据研究人员的指示,Aspose官方并没有对上述漏洞做出回应,也没有发布相关补丁来修复上述漏洞。
Linux公社的RSS地址:https://www.linuxidc.com/rssFeed.aspx