CVE-2021-20109 in Asset Explorer Agentالمعلومات

الملخص

بحسب VulDB • 01/07/2026

نظرًا لأن وكيل Asset Explorer لا يقوم بالتحقق من شهادات HTTPS، يمكن لمهاجم على الشبكة تكوين عنوان IP الخاص به بشكل ثابت ليتطابق مع عنوان خادم Asset Explorer. سيؤدي ذلك إلى تمكين المهاجم من إرسال طلب NEWSCAN إلى وكيل مستمع على الشبكة وكذلك تلقي طلب HTTP الصادر عن الوكيل للتحقق من صحة رمز المصادقة (authtoken). في ملف AEAgent.cpp، يكون الوكيل الذي يستجيب عبر بروتوكول HTTP عرضة لثغرة Heap Overflow إذا كان حجم استجابة حمولة POST كبيرًا جدًا. يتم تحويل استجابة حمولة POST إلى تنسيق Unicode باستخدام الدالة vswprintf. تُكتب هذه البيانات إلى مخزن مؤقت (buffer) بحجم 0x2000 بايت فقط. وإذا كانت حمولة POST أكبر من ذلك، فستحدث ثغرة Heap Overflow.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

حجز

17/12/2020

إفشاء

19/07/2021

الاعتدال

تمت الموافقة

إدخال

VDB-178874

EPSS

0.01378

KEV

لا

النشاطات

منخفض جدًا

المصادر

Might our Artificial Intelligence support you?

Check our Alexa App!