声明:关于昨日发布的金山WPS Office远程堆损坏漏洞

  • A+
所属分类:安全漏洞



声明:关于昨日发布的金山WPS Office远程堆损坏漏洞


关于昨日发布的金山WPS Office远程堆损坏漏洞


经验证为

CVE-2020-25291


http://zeifan.my/security/rce/heap/2020/09/03/wps-rce-heap.html


官方公告:https://security.wps.cn/notices/6


目前该漏洞已修复



披露时间表

该漏洞于2020年8月报告,披露时间表:

  •  2020-08-04-将电子邮件发送到公开提供的WPS的各种邮件列表(销售和支持)。

  •  2020-08-10-WPS团队回应该报告可以转发给他们。

  •  2020-08-11-要求进一步的信息,例如向适当的渠道披露等。

  •  2020-08-17-根据先前的要求与WPS团队进行跟进。

  • 2020-08-18-通过电子邮件提供技术报告和概念验证(未加密)。

  •  2020-08-25-WPS跟进报告进度。

  •  2020-08-26-WPS更新说此问题已转发给开发团队。

  • 2020-08-28-WPS发送了一封电子邮件,指出该问题已在最新的下载版本11.2.0.9403中得到解决。

  •  2020-08-28-针对提供的PoC测试了新版本,并确认问题已解决。

  •  2020-08-28-向WPS团队寻求咨询或更改日志更新。

  •  2020-09-03-申请漏洞CVE。

  •  2020-09-14-已分配CVE编号:CVE-2020-25291。



本文始发于微信公众号(Khan安全攻防实验室):声明:关于昨日发布的金山WPS Office远程堆损坏漏洞

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: