Уязвимость BDU:2024-10313

Идентификатор: BDU:2024-10313.

Наименование уязвимости: Уязвимость исполняемого файла promecefpluginhost.exe подсистемы Prome CEF SubProcess пакета офисных программ WPS Office операционных систем Windows, позволяющая нарушителю выполнить произвольный код.

Описание уязвимости: Уязвимость исполняемого файла promecefpluginhost.exe подсистемы Prome CEF SubProcess пакета офисных программ WPS Office операционных систем Windows связана с неверным ограничением имени пути к каталогу с ограниченным доступом. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код
Уязвимое ПО: Прикладное ПО информационных систем Kingsoft Japan Inc WPS Office от 12.2.0.13110 до 12.2.0.17153 |

Наименование ОС и тип аппаратной платформы: Windows — |
Дата выявления: 23.05.2024.
CVSS 2.0: AV:L/AC:L/Au:N/C:C/I:C/A:C
Уровень опасности уязвимости: Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,2)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,8)
Критический уровень опасности (базовая оценка CVSS 4.0 составляет 9,3)

Возможные меры по устранению:
Использование рекомендаций:
https://ru.wps.com/whatsnew/pc/20240523/.
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Данные уточняются
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости: CVE-2024-7263.

Тип ошибки CWE:
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
https://ru.wps.com/whatsnew/pc/20240523/
https://xakep.ru/2024/08/29/wps-office-spyglace/
https://www.eset.com/uk/about/newsroom/press-releases/eset-research-spy-group-exploits-wps-office-zero-day-analysis-uncovers-a-second-vulnerability-1/?srsltid=AfmBOorW9Ep9VQPoWmO6hfeyOh_UkRy4z6JHs8PsCF8_g_1ddMrqbuXs
https://github.com/advisories/GHSA-xx3f-44rh-4g76
https://asec.ahnlab.com/en/82637/