tobesoft XPLATFORM Arbitrary file execution Vulnerability

Improper input validation vulnerability in XPLATFORM's execBrowser method can cause execute arbitrary commands. IF the second parameter value of the execBrowser function is ‘default’, the first parameter value could be passed to the ShellExecuteW API. The passed parameter is an arbitrary code to be executed. Remote attackers can use this vulnerability to execute arbitrary remote code.

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:N

输入验证不恰当

Tobesoft Xplatform 输入验证错误漏洞

Tobesoft Xplatform是韩国Tobesoft公司的一套应用程序开发平台。该平台支持表单和复合组件继承功能、CSS自动设置功能以及多文档界面等功能。 Tobesoft Xplatform 9.2.2.280 版本之前 execBrowser 方法存在输入验证错误漏洞，该漏洞源于如果 execBrowser 函数的第二个参数值为 default，则可以将第一个参数值传递给 ShellExecuteW API。 传递的参数是要执行的任意代码。 远程攻击者可以利用此漏洞执行任意远程代码。

N/A

N/A