CVE-2019-25735
WysokieCVSS 8.4Streszczenie
AllPlayer 7.4 zawiera lokalną podatność na przepełnienie bufora w obsłudze URL, która pozwala atakującym na nadpisanie wskaźników obsługi wyjątków strukturalnych poprzez dostarczenie nadmiernie długiego ciągu URL. Atakujący mogą stworzyć złośliwy URL, wkleić go w oknie dialogowym Otwórz URL i wywołać wykonanie kodu opartego na SEH, co pozwala na uruchomienie dowolnych poleceń z uprawnieniami użytkownika.
Ocena ryzyka
Podatność ta może prowadzić do wykonania złośliwego kodu na systemie ofiary, co stwarza poważne zagrożenie dla bezpieczeństwa danych i systemów organizacji.
Rekomendacja
Zaleca się aktualizację AllPlayer do najnowszej wersji, aby usunąć tę podatność oraz monitorowanie systemów pod kątem nieautoryzowanego dostępu.
Oryginalny opis (angielski, źródło NVD)
AllPlayer 7.4 contains a local buffer overflow vulnerability in URL handling that allows attackers to overwrite structured exception handling pointers by supplying an excessively long URL string. Attackers can craft a malicious URL, paste it into the Open URL dialog, and trigger SEH-based code execution to run arbitrary commands with user privileges.

