信息安全研究

咨询热线:400-650-1353
关注公司微信账号

首页 > 信息安全研究 > 工程信息安全漏洞发布

工程信息安全漏洞发布

Siemens Solid Edge WebPartHelper ActiveX远程代码执行漏洞

CNVD-ID

CNVD-2013-25486

发布时间

2013-05-29

危害级别

(AV:N/AC:L/Au:N/C:C/I:C/A:C)

影响产品

Siemens WebPartHelper ActiveX Control 105.x
Siemens Solid Edge ST5 105.x
Siemens SEListCtrlX ActiveX Control 105.x

BUGTRAQ ID

60158

漏洞描述

Siemens Solid Edge是一款数字化产品开发软件。

Siemens Solid Edge WebPartHelper ActiveX控件"OpenInEditor()" (WPHelper.dll)方法处理参数存在一个错误,允许攻击者构建恶意WEB页,诱使用户解析,可以应用程序上下文执行任意命令。

参考链接

http://retrogod.altervista.org/9sg_siemens_adv_i.htm
http://www.secunia.com/advisories/53595/

漏洞解决方案

目前没有详细解决方案提供:
http://www.plm.automation.siemens.com/en_us/products/velocity/forms/solid-edge-student.cfm

漏洞发现者

Andrea Micalizzi aka rgod

上一篇:Siemens Scalance X200系列交换机SNMPv3远程安全绕过漏洞

下一篇:Siemens Solid Edge SEListCtrlX ActiveX内存破坏漏洞

返回列表

北京力控华康科技有限公司版权所有 Copyright ©2009-2013 京ICP备11026151号 京公网安备11010802010312号Powered by HuaHao