В Serv-U существует уязвимость неработающего контроля доступа, которая при использовании дает злоумышленнику возможность создать пользователя системного администратора и выполнять произвольный код в качестве привилегированной учетной записи с помощью привилегий администратора домена или администратора группы. Для злоупотребления этой проблемой требуются административные привилегии. В развертываниях Windows риск оценивается как средний, поскольку службы по умолчанию часто запускаются под менее привилегированными учетными записями служб.
Показать оригинальное описание (EN)
A broken access control vulnerability exists in Serv-U which when exploited, gives a malicious actor the ability to create a system admin user and execute arbitrary code as a privileged account via domain admin or group admin privileges. This issue requires administrative privileges to abuse. On Windows deployments, the risk is scored as a medium because services frequently run under less-privileged service accounts by default.
Характеристики атаки
Последствия
Строка CVSS v3.1
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Solarwinds Serv-U
cpe:2.3:a:solarwinds:serv-u:*:*:*:*:*:*:*:*
|
— |
15.5.4
|