Vulnerabilidad en Kofax Power PDF (CVE-2023-38092)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-121
Desbordamiendo de búfer basado en pila (Stack)
Fecha de publicación:
03/05/2024
Última modificación:
03/05/2024
Descripción
Vulnerabilidad de ejecución remota de código de desbordamiento de búfer en la región stack de la memoria de Kofax Power PDF importDataObject. Esta vulnerabilidad permite a atacantes remotos ejecutar código arbitrario en instalaciones afectadas de Kofax Power PDF. Se requiere la interacción del usuario para aprovechar esta vulnerabilidad, ya que el objetivo debe visitar una página maliciosa o abrir un archivo malicioso. La falla específica existe en la implementación del método importDataObject. El problema se debe a la falta de una validación adecuada de la longitud de los datos proporcionados por el usuario antes de copiarlos en un búfer basado en pila de longitud fija. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto del proceso actual. Era ZDI-CAN-20603.
Impacto
Puntuación base 3.x
7.80
Gravedad 3.x
ALTA