联系未果后，思科披露文档转换服务Aspose严重0day

思科 Talos 团队的安全研究员在多个 Aspose API 中发现多个漏洞，可导致远程攻击者在受影响机器上执行代码。

Aspose 提供的 API 旨在帮助操纵并转换大量文档格式。这些安全缺陷影响帮助处理 PDF、微软 Word 等多种文件类型的 API。

要利用这些漏洞，攻击者需要向目标用户发送特殊构造的文件，之后诱骗他们在使用相应 API 之时打开该文件。

第一个漏洞是CVE-2019-5032，是可利用的带外读取漏洞，存在于Aspose.Cells 19.1.0 版本的 LabelSst 记录解析器中。Apose. Cells 库用于大量企业、银行和政府组织机构中，用作数据处理和转换的软件产品。该漏洞存在于负责处理 LabelSst 记录的函数中，可导致攻击者使用特殊构造的 XLS 文件印发带外读取，从而导致攻击者远程执行代码。

第二个漏洞是CVE-2019-5033，它是存在于Aspose.Cells 19.1.0 库中 Number 记录解析器中的一个带外读取问题。和CVE-2019-5032 类似，如果远程攻击者向受害者发送畸形 XLS 文件，则可导致代码执行后果。

第三个漏洞是CVE-2019-5041，它是存在于Aspose.Words 库版本18.11.0.0 中 FnumMetaInfo 函数中的一个基于栈的缓冲区溢出漏洞。Aspose.Words 库用于和 DOC(X) 文件相关的多种操作中。它和 Aspose.Cells 一样，应用于很多公司、银行和政府组织机构中，作为数据处理/转换软件产品的一部分。该漏洞存在于负责处理文档元数据的函数中。攻击者可使用特殊构造的 DOC 文件触发该漏洞并实现远程代码执行。

目前这些漏洞均无补丁，但Talos 团队在数次联系 Aspose 公司未果后，决定公之于众。

思科对这些漏洞的详细分析可见：

https://blog.talosintelligence.com/2019/08/aspose-APIs-RCE-vulns-aug-2019.html

原文链接

https://www.securityweek.com/remote-code-execution-flaws-impact-aspose-apis

声明：本文来自代码卫士，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。