Lakeside SysTrack Agent LsiAgent.exe Out-of-Bounds Read via UDP 漏洞概述 Lakeside SysTrack Agent 版本在 11.2.1.28、11.3.0.38、11.4.0.24、11.5.0.15 之前存在命令 ID 30 UDP 数据包处理程序中的越界读取漏洞,允许远程攻击者通过发送特制的 UDP 数据包来崩溃应用程序。攻击者可以发送带有无效内存地址的畸形数据包,在载荷中的偏移量 0x4 处触发访问违规并导致服务拒绝。 影响范围 SysTrack Agent < 11.2.1.28, 11.3.0.xxx < 11.3.0.38, 11.4.0.xxx < 11.4.0.24, 11.5.0.xxx < 11.5.0.15 修复方案 升级到 11.2.1.28 或更高版本 升级到 11.3.0.38 或更高版本 升级到 11.4.0.24 或更高版本 升级到 11.5.0.15 或更高版本 参考链接 11.2.1.28 Hotfix Agent Release Notes 11.3.0.xxx Hotfix Agent Release Notes 11.4.0.xxx Hotfix Agent Release Notes 11.5.0.xxx Hotfix Agent Release Notes 其他信息 CVE: CVE-2026-39929 CVSS: 8.7 CVSS Vector: CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N CWE: - CWE-125 Out-of-bounds Read - CWE-754 Improper Check for Unusual or Exceptional Conditions Credit: Austin A. DeFrancesco (DefCesco)