CVE-2026-45313 in Sandboxiethông tin

Tóm tắt

Bởi VulDB • 16/07/2026

Sandboxie-Plus là một phần mềm cách ly dựa trên sandbox mã nguồn mở dành cho Windows. Trước phiên bản 1.17.6, hàm GuiServer::WndHookRegisterSlave trong Sandboxie/core/svc/GuiServer.cpp lưu trữ các trường hthread và hproc do kẻ tấn công cung cấp từ yêu cầu GUI_WND_HOOK_REGISTER mà không xác thực xem luồng (thread) có thuộc về tiến trình được cách ly hay không hoặc liệu con trỏ hàm có nằm trong không gian địa chỉ của caller hay không, sau đó GuiServer::WndHookNotifySlave gọi OpenThread(THREAD_SET_CONTEXT, FALSE, whk->hthread) và QueueUserAPC((PAPCFUNC)whk->hproc, hThread, (ULONG_PTR)req->threadid) với quyền SYSTEM, cho phép một tiến trình được cách ly thực thi mã tùy ý trong một tiến trình host không được cách ly. Vấn đề này đã được khắc phục trong phiên bản 1.17.6.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

chịu trách nhiệm

GitHub M

Đặt trước

11/05/2026

Tiết lộ

16/07/2026

Kiểm duyệt

được chấp nhận

EPSS

0.00000

KEV

không

Các hoạt động

rất thấp

Nguồn

Do you know our Splunk app?

Download it now for free!