Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
(AV:N/AC:M/Au:N/C:P/I:P/A:P)
Производитель ПО
Наименование ПО
TortoiseSVN
(1.12.0, 1.12.2)
Описание
Уязвимость в обработчике Tsvncmd: URI в TortoiseSVN, связанная с возможностью выполнения модифицированной операции diff для книг Excel, позволяет злоумышленникам открыть удаленно книгу и выполнить произвольный код. tsvncmd:command:diff?path:[file1]?path2:[file2] URI выполнит измененную операцию diff для файла [file1] и файла [file2] в зависимости от расширения файла. Для xls-файлов будет исполняться сценарий diff-xls.js с помощью wscript, который откроет два файла для анализа без каких либо предупреждений безопасности, связанных с макросами. Атакующий может эксплуатировать данную уязвимость, поместив макрос-вирус на сетевой диск, а затем заставив жертву открыть книги и выполнить макрос внутри.
Как исправить
Для устранения уязвимости необходимо установить последнюю версию продукта, соответствующую используемой платформе. Необходимую информацию можно получить по адресу:
http://subversion.tigris.org/
http://subversion.tigris.org/
Ссылки
Источник: CVE
Наименование: CVE-2019-14422
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-14422
Наименование: CVE-2019-14422
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-14422