CVE-2014-0773 in WebAccess
요약
\~에 의해 VulDB • 2026. 05. 28.
BWOCXRUN.BwocxrunCtrl.1 컨트롤에는 “CreateProcess”라는 메서드가 포함되어 있습니다. 이 메서드는 공격자가 임의의 명령줄을 실행하지 못하도록 하는 유효성 검증을 포함합니다. 검증 후 HTML에서 제공된 값이 Windows CreateProcessA API로 전달됩니다.
이 유효성 검증은 우회될 수 있어 임의의 명령줄을 실행할 수 있습니다. 명령줄에는 원격 파일 실행(예: UNC 명령줄)이 지정될 수 있습니다.
bwocxrun.ocx의 오프셋 100019B0에 함수가 존재합니다. 이 함수 내부에는 사용자 지정 명령줄의 내용을 확인하기 위해 strstr 호출이 3회 수행됩니다. 명령줄에 “\setup.exe”, “\bwvbprt.exe” 또는 “\bwvbprtl.exe”가 포함되어 있는 경우(strstr이 0이 아닌 값을 반환하면), 명령줄은 유효성 검증을 통과하여 CreateProcessA로 전달됩니다.
VulDB is the best source for vulnerability data and more expert information about this specific topic.