Disk Sorter Enterprise 13.6.12 содержит уязвимость пути службы без кавычек в конфигурации службы Windows, которая позволяет локальным злоумышленникам потенциально выполнять произвольный код. Злоумышленники могут использовать путь без кавычек в «C:\Program Files\Disk Sorter Enterprise\bin\disksrs.exe» для внедрения вредоносных исполняемых файлов и повышения привилегий.
Показать оригинальное описание (английский)
Disk Sorter Enterprise 13.6.12 contains an unquoted service path vulnerability in its Windows service configuration that allows local attackers to potentially execute arbitrary code. Attackers can exploit the unquoted path in 'C:\Program Files\Disk Sorter Enterprise\bin\disksrs.exe' to inject malicious executables and escalate privileges.
Матрица атаки
Вектор атаки
Локальный
Локальный доступ
Сложность атаки
Низкая
Легко эксплуатировать
Требуемые привилегии
Низкие
Нужны базовые права
Взаимодействие с пользователем
Не требуется
Не нужно действие пользователя
Влияние на конфиденциальность
Высокое
Полная утечка данных
Влияние на целостность
Высокое
Полная модификация
Влияние на доступность
Высокое
Полный отказ в обслуживании
СТРОКА CVSS ВЕКТОРА
CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H