声明:关于昨日发布的金山WPS Office远程堆损坏漏洞

admin 2021年4月11日09:36:52评论226 views字数 628阅读2分5秒阅读模式



声明:关于昨日发布的金山WPS Office远程堆损坏漏洞


关于昨日发布的金山WPS Office远程堆损坏漏洞


经验证为

CVE-2020-25291


http://zeifan.my/security/rce/heap/2020/09/03/wps-rce-heap.html


官方公告:https://security.wps.cn/notices/6


目前该漏洞已修复



披露时间表

该漏洞于2020年8月报告,披露时间表:

  •  2020-08-04-将电子邮件发送到公开提供的WPS的各种邮件列表(销售和支持)。

  •  2020-08-10-WPS团队回应该报告可以转发给他们。

  •  2020-08-11-要求进一步的信息,例如向适当的渠道披露等。

  •  2020-08-17-根据先前的要求与WPS团队进行跟进。

  • 2020-08-18-通过电子邮件提供技术报告和概念验证(未加密)。

  •  2020-08-25-WPS跟进报告进度。

  •  2020-08-26-WPS更新说此问题已转发给开发团队。

  • 2020-08-28-WPS发送了一封电子邮件,指出该问题已在最新的下载版本11.2.0.9403中得到解决。

  •  2020-08-28-针对提供的PoC测试了新版本,并确认问题已解决。

  •  2020-08-28-向WPS团队寻求咨询或更改日志更新。

  •  2020-09-03-申请漏洞CVE。

  •  2020-09-14-已分配CVE编号:CVE-2020-25291。



本文始发于微信公众号(Khan安全攻防实验室):声明:关于昨日发布的金山WPS Office远程堆损坏漏洞

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2021年4月11日09:36:52
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   声明:关于昨日发布的金山WPS Office远程堆损坏漏洞http://cn-sec.com/archives/332009.html

发表评论

匿名网友 填写信息