Podatność CVE-2010-3749
Publikacja: 2010-10-18   Modyfikacja: 2012-02-13

Opis:
The browser-plugin implementation in RealNetworks RealPlayer 11.0 through 11.1 and RealPlayer SP 1.0 through 1.1 allows remote attackers to arguments to the RecordClip method, which allows remote attackers to download an arbitrary program onto a client machine, and execute this program, via a " (double quote) in an argument to the RecordClip method, aka "parameter injection."

W naszej bazie, znaleźliśmy następujące noty dla tego CVE:
Tytuł
Autor
Data
High
Real Networks RealPlayer SP \'RecordClip\' Method Remote Code Execution
Sean de Regge
15.01.2011

Typ:

CWE-94

 (Improper Control of Generation of Code ('Code Injection'))

CVSS2 => (AV:N/AC:M/Au:N/C:C/I:C/A:C)

Ogólna skala CVSS
Znaczenie
Łatwość wykorzystania
9.3/10
10/10
8.6/10
Wymagany dostęp
Złożoność ataku
Autoryzacja
Zdalny
Średnia
Nie wymagana
Wpływ na poufność
Wpływ na integralność
Wpływ na dostępność
Pełny
Pełny
Pełny
Affected software
Realnetworks -> Realplayer 
Realnetworks -> Realplayer sp 

 Referencje:
http://www.zerodayinitiative.com/advisories/ZDI-10-211/
http://www.securityfocus.com/bid/44443
http://www.securityfocus.com/bid/44144
http://www.exploit-db.com/exploits/15991
http://service.real.com/realplayer/security/10152010_player/en/
Copyright 2024, cxsecurity.com

 

Back to Top