1.简介
- ASP.NET
- ASP.NET 是由微软开发的一个开源、跨平台的框架,用于构建Web应用程序。它建立在.NET Framework之上,支持多种编程语言,包括C#、F#和VB.NET。ASP.NET的主要目标是让开发者能够高效地创建动态的、数据驱动的网站和服务
- TX Text Control
- TX Text Control 是一款功能强大的文本处理组件,广泛用于开发各种需要富文本编辑功能的应用程序。它支持多种开发平台和技术,包括Windows Forms、WPF、ASP.NET、.NET Core以及Web API等。TX Text Control 由Text Control GmbH公司开发,提供了丰富的功能和灵活的定制选项,使其成为许多企业和开发者的首选
2.描述
- 是一个任意文件读/写漏洞
- TX文本控件中发现了“sudo make me a sandwich”安全问题
- 可能所有版本都受到影响,但尚未得到证实
- 通过JavaScript API公开的函数setfiledirectory()来更改配置的读写系统路径
3.时间线
2024年10月14日:请求安全联系人sales.department@textcontrol.com
2024年10月31日:MITRE请求CVE。
2024年10月31日-2024年11月12日:无人关心。
2024年11月12日:咨询已发布。
4.POC/EXP
- TXTextControl.setFileDirectory(0, “c:\”)
