CVE-2014-0773 in WebAccessinformazioni

Riassunto

di VulDB • 20/06/2026

Il controllo BWOCXRUN.BwocxrunCtrl.1 contiene un metodo denominato “CreateProcess”. Questo metodo include una validazione per impedire che un attaccante possa eseguire righe di comando arbitrarie. Dopo la convalida, i valori forniti nell’HTML vengono passati all’API Windows CreateProcessA.

La validazione può essere aggirata, consentendo l’esecuzione di righe di comando arbitrarie. La riga di comando può specificare l’esecuzione di file remoti (ad esempio: riga di comando UNC).

Esiste una funzione situata all’offset 100019B0 del file bwocxrun.ocx. All’interno di questa funzione sono presenti tre chiamate a strstr per verificare il contenuto della riga di comando specificata dall’utente. Se la stringa “\setup.exe,” “\bwvbprt.exe” o “\bwvbprtl.exe” è contenuta nella riga di comando (strstr restituisce un valore diverso da zero), la riga di comando supera la convalida e viene quindi passata a CreateProcessA.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Prenotare

02/01/2014

Divulgazione

12/04/2014

Moderazione

accettato

CPE

pronto

EPSS

0.02519

KEV

no

Attività

molto basso

Settore

Pharma, Chemical, ...

Fonti

MITREhttps://www.cve.org/CVERecord?id=CVE-2014-0773
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2014-0773
CVE Detailshttps://www.cvedetails.com/cve/CVE-2014-0773/

PrecedenteVisione D'ensembleIl prossimo

Do you want to use VulDB in your project?

Use the official API to access entries easily!