DiskPulse Enterprise 13.6.14 содержит уязвимость пути службы без кавычек в конфигурации службы Windows, которая позволяет локальным злоумышленникам потенциально выполнять произвольный код. Злоумышленники могут использовать путь без кавычек в «C:\Program Files\Disk Pulse Enterprise\bin\diskpls.exe», чтобы внедрить вредоносные исполняемые файлы и повысить привилегии.
Показать оригинальное описание (английский)
DiskPulse Enterprise 13.6.14 contains an unquoted service path vulnerability in its Windows service configuration that allows local attackers to potentially execute arbitrary code. Attackers can exploit the unquoted path in 'C:\Program Files\Disk Pulse Enterprise\bin\diskpls.exe' to inject malicious executables and escalate privileges.
Матрица атаки
Вектор атаки
Локальный
Локальный доступ
Сложность атаки
Низкая
Легко эксплуатировать
Требуемые привилегии
Низкие
Нужны базовые права
Взаимодействие с пользователем
Не требуется
Не нужно действие пользователя
Влияние на конфиденциальность
Высокое
Полная утечка данных
Влияние на целостность
Высокое
Полная модификация
Влияние на доступность
Высокое
Полный отказ в обслуживании
СТРОКА CVSS ВЕКТОРА
CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H