CVE-2021-20109 in Asset Explorer Agent정보

요약

\~에 의해 VulDB • 2026. 07. 01.

Asset Explorer 에이전트가 HTTPS 인증서를 검증하지 않기 때문에, 네트워크 상의 공격자가 Asset Explorer 서버 IP 주소와 일치하도록 자신의 IP 주소를 정적으로 구성할 수 있습니다. 이를 통해 공격자는 네트워크상에서 수신 대기 중인 에이전트에 NEWSCAN 요청을 보내고, 에이전트의 authtoken을 확인하는 HTTP 응답도 받을 수 있습니다. AEAgent.cpp 파일에서, HTTP를 통해 응답하는 에이전트는 POST 페이로드의 크기가 너무 클 경우 Heap Overflow 취약점에 노출됩니다. POST 페이로드는 vswprintf를 사용하여 Unicode로 변환되며, 이는 최대 0x2000바이트 크기의 버퍼에 기록됩니다. 만약 POST 페이로드가 이 크기보다 크면 heap overflow가 발생합니다.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

출처

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!