CVE-2026-7840
KrytyczneCVSS 9.8Prawdopodobieństwo exploitacji (EPSS)
Podwyższone ryzykoPercentyl 65 — wyżej niż 65% wszystkich znanych CVE
Streszczenie
UltraVNC repeater w wersji do 1.8.2.2 zawiera globalne przepełnienie bufora w osadzonym serwerze administracyjnym HTTP. Funkcje wi_senderr() i wi_replyhdr() w pliku repeater/webgui/webutils.c zapisują dostarczony przez wywołującego URI żądania HTTP do stałego 1000-bajtowego globalnego bufora (hdrbuf) za pomocą niesprawdzonych wywołań sprintf. Bufor odbioru HTTP akceptuje URI o długości do około 150 KB (WI_RXBUFSIZE = 153600), więc nieuwierzytelniony atakujący, który może dotrzeć do portu HTTP repeatera (domyślnie TCP 80), może przepełnić hdrbuf o co najmniej 500 bajtów pojedynczym żądaniem HTTP zawierającym URI o długości 1500 bajtów lub więcej, uszkadzając sąsiednie zmienne globalne w segmencie .bss. Przepełnienie następuje przed jakąkolwiek kontrolą uwierzytelnienia, co czyni je osiągalnym bez poświadczeń. Zdalny, nieuwierzytelniony atakujący może uzyskać zdalne wykonanie kodu na hoście uruchamiającym repeater.
Ocena ryzyka
Organizacja narażona jest na zdalne przejęcie kontroli nad serwerem z repeaterem UltraVNC bez konieczności uwierzytelnienia, co może prowadzić do pełnej kompromitacji systemu, kradzieży danych lub wykorzystania go jako punktu wejścia do dalszych ataków w sieci wewnętrznej.
Rekomendacja
Należy natychmiast zaktualizować UltraVNC repeater do wersji nowszej niż 1.8.2.2, jeśli taka jest dostępna, lub wdrożyć tymczasowe zabezpieczenia, takie jak ograniczenie dostępu do portu HTTP repeatera (domyślnie TCP 80) tylko do zaufanych adresów IP za pomocą firewalla.
Oryginalny opis (angielski, źródło NVD)
UltraVNC repeater through 1.8.2.2 contains a global buffer overflow in its embedded HTTP administration server. The functions wi_senderr() and wi_replyhdr() in repeater/webgui/webutils.c write the caller-supplied HTTP request URI into a fixed 1000-byte global buffer (hdrbuf) via unchecked sprintf calls. The HTTP receive buffer accepts URIs up to approximately 150 KB (WI_RXBUFSIZE = 153600), so an unauthenticated attacker who can reach the repeater HTTP port (default TCP 80) can overflow hdrbuf by at least 500 bytes with a single HTTP request containing a URI of 1500 bytes or longer, corrupting adjacent .bss-segment globals. The overflow occurs before any authentication check, making it reachable without credentials. A remote, unauthenticated attacker can achieve arbitrary code execution on the host running the repeater.

