首页 > 清静研究 > 清静转达 > 清静通告

Aspose API多个RCE 0day误差清静通告

宣布时间 2019-08-23

? 误差编号和级别

CVE编号：CVE-2019-5032，，，，，，危险级别：严重，，，，，，CVSS分值：厂商自评：9.8，，，，，，官方未评定

CVE编号：CVE-2019-5033，，，，，，危险级别：严重，，，，，，CVSS分值：厂商自评：9.8，，，，，，官方未评定

CVE编号：CVE-2019-5041，，，，，，危险级别：严重，，，，，，CVSS分值：厂商自评：9.8，，，，，，官方未评定

? 影响版本

受影响的版本

Aspose Aspose.Cells 19.1.0

Aspose Aspose.Words 18.11.0.0

? 误差概述

清静研究员在多个Aspose API中发明多个误差，，，，，，可导致远程攻击者在受影响机械上执行代码。。。

Aspose提供的API旨在资助使用并转换大宗文档名堂。。。这些清静缺陷影响资助处置惩罚PDF、微软Word等多种文件类型的API。。。

要使用这些误差，，，，，，攻击者需要向目的用户发送特殊结构的文件，，，，，，之后诱骗他们在使用响应API之时翻开该文件。。。误差概述如下：

CVE-2019-5032

它是可使用的带外读取误差，，，，，，保存于Aspose.Cells 19.1.0 版本的 LabelSst 纪录剖析器中。。。Apose. Cells 库用于大宗企业、银行和政府组织机构中，，，，，，用作数据处置惩罚和转换的软件产品。。。该误差保存于认真处置惩罚 LabelSst 纪录的函数中，，，，，，可导致攻击者使用特殊结构的 XLS 文件印发带外读�。。。�，，，，从而导致攻击者远程执行代码。。。

CVE-2019-5033

它是保存于Aspose.Cells 19.1.0 库中 Number 纪录剖析器中的一个带外读取问题。。。和CVE-2019-5032 类似，，，，，，若是远程攻击者向受害者发送畸形 XLS 文件，，，，，，则可导致代码执行效果。。。

CVE-2019-5041

它是保存于Aspose.Words 库版本18.11.0.0 中 FnumMetaInfo 函数中的一个基于栈的缓冲区溢出误差。。。Aspose.Words 库用于和 DOC(X) 文件相关的多种操作中。。。它和 Aspose.Cells 一样，，，，，，应用于许多公司、银行和政府组织机构中，，，，，，作为数据处置惩罚/转换软件产品的一部分。。。该误差保存于认真处置惩罚文档元数据的函数中。。。攻击者可使用特殊结构的 DOC 文件触发该误差并实现远程代码执行。。。

? 误差验证

暂无POC/EXP。。。

? 修复建议

现在厂商暂未宣布修复步伐解决此清静问题，，，，，，建议使用此软件的用户随时关注厂商主页或参考网址以获取解决步伐：https://www.aspose.com。。。

? 参考链接

https://www.talosintelligence.com/vulnerability_reports/TALOS-2019-0805

7*24小时效劳热线

400-624-3900

官方微信

官方微博

执法声明

南宫NG娱乐

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

大模子应用清静

专业清静效劳

清静运营中心

知白学院

威胁情报中心

清静团队

售后效劳

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系南宫NG娱乐

清静研究