← volver
CVE-2024-11506

IrfanView DWG File Parsing Out-Of-Bounds Read Remote Code Execution Vulnerability

CVSS 7.8 HIGHEPSS 0.4%CWE-125
En resumen

IrfanView tiene un fallo en la lectura de archivos DWG que permite a atacantes ejecutar código malicioso en su computadora si abre un archivo especialmente elaborado. Esto ocurre porque el programa no valida adecuadamente los datos del archivo antes de leerlo.

Detalle técnico

Vulnerabilidad de lectura fuera de límites en el analizador de archivos DWG de IrfanView debido a validación insuficiente de entrada. Un atacante puede crear un archivo DWG malicioso que, al ser abierto por un usuario, causa que la aplicación lea desde direcciones de memoria inválidas, permitiendo ejecución de código arbitrario con los privilegios del proceso actual.

Resumen generado y traducido por IA a partir de la descripción oficial.
IrfanView DWG File Parsing Out-Of-Bounds Read Remote Code Execution Vulnerability. This vulnerability allows remote attackers to execute arbitrary code on affected installations of IrfanView. User interaction is required to exploit this vulnerability in that the target must visit a malicious page or open a malicious file. The specific flaw exists within the parsing of DWG files. The issue results from the lack of proper validation of user-supplied data, which can result in a read before the start of an allocated buffer. An attacker can leverage this vulnerability to execute code in the context of the current process. Was ZDI-CAN-22169.
CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
Productos afectados
IrfanView · IrfanView

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →
Referencias
https://www.zerodayinitiative.com/advisories/ZDI-24-1594/