CVE-2026-45313 in Sandboxieinformazioni

Riassunto

di VulDB • 16/07/2026

Sandboxie-Plus è un software di isolamento basato su sandbox open source per Windows. Prima della versione 1.17.6, la funzione GuiServer::WndHookRegisterSlave in Sandboxie/core/svc/GuiServer.cpp memorizza i campi hthread e hproc forniti dall'attaccante da una richiesta GUI_WND_HOOK_REGISTER senza convalidare che il thread appartenga al processo isolato nella sandbox o che il puntatore alla funzione si trovi nello spazio degli indirizzi del chiamante. Successivamente, GuiServer::WndHookNotifySlave chiama OpenThread(THREAD_SET_CONTEXT, FALSE, whk->hthread) e QueueUserAPC((PAPCFUNC)whk->hproc, hThread, (ULONG_PTR)req->threadid) come SYSTEM, consentendo a un processo isolato nella sandbox di eseguire codice arbitrario in un processo host non isolato. Questo problema è stato risolto nella versione 1.17.6.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Responsabile

GitHub M

Prenotare

11/05/2026

Divulgazione

15/07/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00000

KEV

no

Attività

molto basso

Fonti

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!