VLC Media Playerのnetwork/httpd.cのhttpd_FileCallBack関数の接続パラメーターの書式文字列

high Nessus プラグイン ID 31642

概要

リモートVLCのWebサーバーは、書式文字列の脆弱性の影響を受けます。

説明

リモートホストは、人気のMedia PlayerアプリケーションであるVLCを実行しており、これは埋め込まれたWebサーバーを持つことができます。

このソフトウェアのリモートバージョンは、無効な形式の「Connection: 」HTTPヘッダーを処理する際に、書式文字列攻撃に対して脆弱です。

攻撃者がこの欠陥を悪用しVLCアプリケーションの権限で任意のコマンドを実行する可能性があります。

ソリューション

VLC 0.8.6e以降にアップグレードしてください。

プラグインの詳細

深刻度: High

ID: 31642

ファイル名: vlc_0_8_6d_format_string.nasl

バージョン: 1.15

タイプ: remote

ファミリー: Gain a shell remotely

公開日: 2008/3/21

更新日: 2018/8/6

リスク情報

VPR

リスクファクター: Medium

スコア: 6.7

CVSS v2

リスクファクター: High

Base Score: 7.5

Temporal Score: 5.9

ベクトル: AV:N/AC:L/Au:N/C:P/I:P/A:P

現状ベクトル: E:POC/RL:OF/RC:C

脆弱性情報

CPE: cpe:/a:videolan:vlc_media_player

エクスプロイトが利用可能: true

エクスプロイトの容易さ: Exploits are available

参照情報

CVE: CVE-2007-6682

BID: 27015