Katalog CVE

CVE-2026-7840

KrytyczneCVSS 9.8
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Podwyższone ryzyko
1.20%

Percentyl 65 — wyżej niż 65% wszystkich znanych CVE

Streszczenie

UltraVNC repeater w wersji do 1.8.2.2 zawiera globalne przepełnienie bufora w osadzonym serwerze administracyjnym HTTP. Funkcje wi_senderr() i wi_replyhdr() w pliku repeater/webgui/webutils.c zapisują dostarczony przez wywołującego URI żądania HTTP do stałego 1000-bajtowego globalnego bufora (hdrbuf) za pomocą niesprawdzonych wywołań sprintf. Bufor odbioru HTTP akceptuje URI o długości do około 150 KB (WI_RXBUFSIZE = 153600), więc nieuwierzytelniony atakujący, który może dotrzeć do portu HTTP repeatera (domyślnie TCP 80), może przepełnić hdrbuf o co najmniej 500 bajtów pojedynczym żądaniem HTTP zawierającym URI o długości 1500 bajtów lub więcej, uszkadzając sąsiednie zmienne globalne w segmencie .bss. Przepełnienie następuje przed jakąkolwiek kontrolą uwierzytelnienia, co czyni je osiągalnym bez poświadczeń. Zdalny, nieuwierzytelniony atakujący może uzyskać zdalne wykonanie kodu na hoście uruchamiającym repeater.

Ocena ryzyka

Organizacja narażona jest na zdalne przejęcie kontroli nad serwerem z repeaterem UltraVNC bez konieczności uwierzytelnienia, co może prowadzić do pełnej kompromitacji systemu, kradzieży danych lub wykorzystania go jako punktu wejścia do dalszych ataków w sieci wewnętrznej.

Rekomendacja

Należy natychmiast zaktualizować UltraVNC repeater do wersji nowszej niż 1.8.2.2, jeśli taka jest dostępna, lub wdrożyć tymczasowe zabezpieczenia, takie jak ograniczenie dostępu do portu HTTP repeatera (domyślnie TCP 80) tylko do zaufanych adresów IP za pomocą firewalla.

Oryginalny opis (angielski, źródło NVD)

UltraVNC repeater through 1.8.2.2 contains a global buffer overflow in its embedded HTTP administration server. The functions wi_senderr() and wi_replyhdr() in repeater/webgui/webutils.c write the caller-supplied HTTP request URI into a fixed 1000-byte global buffer (hdrbuf) via unchecked sprintf calls. The HTTP receive buffer accepts URIs up to approximately 150 KB (WI_RXBUFSIZE = 153600), so an unauthenticated attacker who can reach the repeater HTTP port (default TCP 80) can overflow hdrbuf by at least 500 bytes with a single HTTP request containing a URI of 1500 bytes or longer, corrupting adjacent .bss-segment globals. The overflow occurs before any authentication check, making it reachable without credentials. A remote, unauthenticated attacker can achieve arbitrary code execution on the host running the repeater.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS