Macro Expert 4.7 содержит уязвимость пути службы без кавычек, которая позволяет локальным пользователям потенциально выполнять произвольный код с повышенными системными привилегиями. Злоумышленники могут использовать неправильно настроенный путь к службе для внедрения вредоносных исполняемых файлов, которые будут запускаться с разрешениями LocalSystem во время запуска службы.
Показать оригинальное описание (английский)
Macro Expert 4.7 contains an unquoted service path vulnerability that allows local users to potentially execute arbitrary code with elevated system privileges. Attackers can exploit the improperly configured service path to inject malicious executables that will be run with LocalSystem permissions during service startup.
Матрица атаки
Вектор атаки
Локальный
Локальный доступ
Сложность атаки
Низкая
Легко эксплуатировать
Требуемые привилегии
Низкие
Нужны базовые права
Взаимодействие с пользователем
Не требуется
Не нужно действие пользователя
Влияние на конфиденциальность
Высокое
Полная утечка данных
Влияние на целостность
Высокое
Полная модификация
Влияние на доступность
Высокое
Полный отказ в обслуживании
СТРОКА CVSS ВЕКТОРА
CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H