Vulnerabilidad en Xenorate (CVE-2009-20003)
Gravedad CVSS v4.0:
ALTA
Tipo:
CWE-121
Desbordamiendo de búfer basado en pila (Stack)
Fecha de publicación:
21/08/2025
Última modificación:
22/08/2025
Descripción
Las versiones de Xenorate hasta la 2.50 (incluida), un reproductor multimedia basado en Windows, son vulnerables a un desbordamiento de búfer basado en pila al procesar archivos de lista de reproducción .xpl. La aplicación no valida correctamente la longitud de los datos de entrada, lo que permite a un atacante manipular un archivo .xpl malicioso que sobrescribe el Gestor de Excepciones Estructuradas (GEH) y permite la ejecución de código arbitrario. La explotación requiere interacción local, generalmente convenciendo al usuario para que abra el archivo manipulado.
Impacto
Puntuación base 4.0
8.40
Gravedad 4.0
ALTA
Referencias a soluciones, herramientas e información
- http://www.xenorate.com/
- https://raw.githubusercontent.com/rapid7/metasploit-framework/master/modules/exploits/windows/fileformat/xenorate_xpl_bof.rb
- https://web.archive.org/web/20100507021109/http://www.xenorate.com/
- https://www.exploit-db.com/exploits/10371
- https://www.exploit-db.com/exploits/10373
- https://www.fortiguard.com/encyclopedia/ips/18035
- https://www.vulncheck.com/advisories/xenorate-xpl-file-stack-based-buffer-overflow