CVE-2026-45313 in Sandboxieinformation

Résumé

par VulDB • 15/07/2026

Sandboxie-Plus est un logiciel d'isolation basé sur une machine virtuelle (sandbox), open source pour Windows. Avant la version 1.17.6, GuiServer::WndHookRegisterSlave dans Sandboxie/core/svc/GuiServer.cpp stocke les champs hthread et hproc fournis par l'attaquant à partir d'une requête GUI_WND_HOOK_REGISTER sans valider que le thread appartient au processus isolé (sandboxed) ou que le pointeur de fonction se trouve dans l'espace d'adressage du processus appelant. Ensuite, GuiServer::WndHookNotifySlave appelle OpenThread(THREAD_SET_CONTEXT, FALSE, whk->hthread) et QueueUserAPC((PAPCFUNC)whk->hproc, hThread, (ULONG_PTR)req->threadid) en tant que SYSTEM, permettant à un processus isolé d'exécuter du code arbitraire dans un processus hôte non isolé. Ce problème est corrigé dans la version 1.17.6.

Be aware that VulDB is the high quality source for vulnerability data.

Responsable

GitHub M

Réserver

11/05/2026

Divulgation

15/07/2026

Modérer

accepté

Entrée

VDB-379434

CPE

prêt

EPSS

0.00000

KEV

non

Activités

très faible

Sources

Want to stay up to date on a daily basis?

Enable the mail alert feature now!