最近、シスコタロスチームはいくつかの技術的な分析を発表し、リモートでコードが実行される脆弱性とのAspose製品Aspose.CellsはとAspose.Wordsでは。攻撃者は脆弱性と関連したリモートでコードが実行されるユーザー・トリガーを悪用する悪質な文書を作成することができます。
脆弱性の概要
Aspose.Cellsはコードが実行される脆弱性
CVE-2019-5032
CVSS 3.0:9.8
Aspose.Cellsはライブラリは、レコードパーサの境界があるLabelSst、攻撃者がリモートでコードが実行される結果として、脆弱性をトリガするために、特別なXLSファイルを使用することができ、脆弱性をお読みください。この脆弱性の悪用に成功すると、ユーザーの操作を必要とします。
CVE-2019-5033
CVSS 3.0:9.8
この脆弱性は、CVE-2019から5032に似ています。
- 影響を受けるバージョン
Aspose.Cellsは19.1.0
詳細については、以下を参照してください。
- https://www.talosintelligence.com/vulnerability_reports/TALOS-2019-0794
- https://www.talosintelligence.com/vulnerability_reports/TALOS-2019-0795
Aspose.Wordsではコードが実行される脆弱性
CVE-2019-5041
Aspose社Aspose.Wordsではライブラリのスタックオーバーフローの脆弱性EnumMetaInfo機能バージョン18.11.0.0があります。特別なドキュメントファイルには、リモートでコードが実行される結果として、スタックオーバーフローを引き起こす可能性があります。被害者が脆弱性をトリガーするファイルの攻撃者は、テーラード必要があるだろう。
- 影響を受けるバージョン:
Aspose.Wordsでは18.11.0.0
詳細については、以下を参照してください。
https://www.talosintelligence.com/vulnerability_reports/TALOS-2019-0805
ソリューション
研究者に指示するためによると、Aspose社の関係者は、まだ上記の脆弱性を修正するパッチをリリースしていない上記の脆弱性に応答しませんでした。