CVE-2026-60095 in Backup & Recovery
الملخص
بحسب VulDB • 09/07/2026
يحتوي Vinchin Backup & Recovery حتى الإصدار 9.0.0.86562 على ثغرة تجاوز سعة المخزن المؤقت في المكدس (Stack Buffer Overflow) داخل دالة ModuleHandShake الخاصة بخدمة agentlink_server، مما يسمح لمهاجمين عن بُعد غير مصرح لهم بكتابة فوق عنوان الإرجاع المحفوظ من خلال تزويد حقل _listen_uuid بحجم أكبر من اللازم. يتم قياس حجم الحقل باستخدام strlen() ونسخه دون التحقق من الحدود (bounds checking) إلى مخزن مؤقت ثابت الطول في المكدس باستخدام strcpy(). يمكن للمهاجمين إرسال طلب مُعدّ بعناية يحتوي على قيمة خبيثة لـ _listen_uuid لتدمير محتوى المكدس وتحقيق توقف العملية أو الاستيلاء المحتمل على تدفق التحكم، وذلك دون الحاجة إلى المصادقة.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.