検出

UltraVNC < 1.2.2.4 の複数の脆弱性

critical Nessus プラグイン ID 252271

Language:

概要

リモートの Windows ホストにインストールされているリモートデスクトップアプリケーションは、複数の脆弱性による影響を受けます。

説明

リモート Windows ホストにインストールされている UltraVNC Service のバージョンは、1.2.2.4 以前です。そのため、以下の複数の脆弱性の影響を受けます。

 - UltraVNC リビジョン 1203 には、RAW デコーダー内の VNC クライアントに領域外アクセスの脆弱性があり、これによりコードが実行される可能性があります。この攻撃は、ネットワーク接続経由で悪用される可能性があります。この脆弱性はリビジョン 1204 で修正されています。(CVE-2019-8280)
- UltraVNC リビジョン 1211 には、VNC サーバーコードに複数の不適切な NULL 終端脆弱性があります。これにより、リモートユーザーが領域外データにアクセスできます。この攻撃は、ネットワーク接続経由で悪用される可能性があるようです。これらの脆弱性はリビジョン 1212 で修正されています。(CVE-2019-8275)
- UltraVNC リビジョン 1211 には、ファイル転送提供ハンドラー内の VNC サーバーコードにヒープバッファオーバーフローの脆弱性があります。これにより、コードが実行される可能性があります。この攻撃は、ネットワーク接続経由で悪用される可能性があるようです。この脆弱性はリビジョン 1212 で修正されています。(CVE-2019-8274)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ソリューション

UltraVNC バージョン 1.2.2.4 またはそれ以降にアップグレードしてください。

参考資料

https://cert-portal.siemens.com/productcert/pdf/ssa-927095.pdf

プラグインの詳細

深刻度: Critical

ID: 252271

ファイル名: ultravnc_1_2_2_4.nasl

バージョン: 1.1

タイプ: local

エージェント: windows

ファミリー: Windows

公開日: 2025/8/19

更新日: 2025/8/19

サポートされているセンサー: Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 5.9

CVSS v2

リスクファクター: Critical

基本値: 10

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

CVSS スコアのソース: CVE-2019-8280

CVSS v3

リスクファクター: Critical

基本値: 9.8

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

脆弱性情報

CPE: cpe:/a:ultravnc:ultravnc

必要な KB アイテム: SMB/Registry/Enumerated, installed_sw/UltraVNC

パッチ公開日: 2019/3/8

脆弱性公開日: 2019/3/8

参照情報

CVE: CVE-2018-15361, CVE-2019-8258, CVE-2019-8259, CVE-2019-8260, CVE-2019-8261, CVE-2019-8262, CVE-2019-8263, CVE-2019-8264, CVE-2019-8265, CVE-2019-8266, CVE-2019-8267, CVE-2019-8268, CVE-2019-8269, CVE-2019-8270, CVE-2019-8271, CVE-2019-8272, CVE-2019-8273, CVE-2019-8274, CVE-2019-8275, CVE-2019-8276, CVE-2019-8277, CVE-2019-8280