CVE-2017-20211

UCanCode E-XD++ Visualization Enterprise Suite Untrusted Pointer Dereference RCE

CVSS 8.6 HIGHEPSS 0.6%CWE-823

En resumen

UCanCode E-XD++ Visualization Suite contiene una falla en su control ActiveX que permite a atacantes ejecutar código malicioso en la computadora de una víctima al abrir una página web o archivo manipulado. La vulnerabilidad ocurre porque el software no valida adecuadamente los valores de punteros antes de usarlos.

Detalle técnico

El control ActiveX TKDRAWCAD.TKDrawCADCtrl.1 expone un método RotateShape que desreferencia punteros proporcionados por el usuario sin validación suficiente. Un atacante puede suministrar una entrada manipulada para provocar desreferencia arbitraria de punteros, logrando ejecución remota de código en el contexto del proceso anfitrión; la explotación requiere interacción del usuario para instanciar el control mediante una página web o archivo comprometido.

Resumen generado y traducido por IA a partir de la descripción oficial.

UCanCode E-XD++ Visualization Enterprise Suite contains an untrusted pointer dereference vulnerability via the TKDRAWCAD.TKDrawCADCtrl.1 ActiveX control. This is because it exposes a RotateShape method that dereferences a user-supplied pointer without sufficient validation. A crafted input may cause the control to dereference an attacker-controlled pointer, enabling remote code execution in the context of the hosting process. The vulnerability requires user interaction (instantiation of the ActiveX control via a web page or a file).

CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:A/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N

Productos afectados

UCanCode.Net Software · E-XD++ Visualization Enterprise Suite

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →

Referencias

https://www.ucancode.net/https://www.vulncheck.com/advisories/ucancode-e-xd-visualization-enterprise-suite-untrusted-pointer-dereference-rce https://www.zerodayinitiative.com/advisories/ZDI-17-422/