В Serv-U существует уязвимость небезопасной прямой ссылки на объект (IDOR), которая при использовании дает злоумышленнику возможность выполнять собственный код от имени привилегированной учетной записи.
Для злоупотребления этой проблемой требуются административные привилегии. В развертываниях Windows риск оценивается как средний, поскольку службы по умолчанию часто запускаются под менее привилегированными учетными записями служб.
Показать оригинальное описание (EN)
An Insecure Direct Object Reference (IDOR) vulnerability exists in Serv-U, which when exploited, gives a malicious actor the ability to execute native code as a privileged account. This issue requires administrative privileges to abuse. On Windows deployments, the risk is scored as a medium because services frequently run under less-privileged service accounts by default.
Характеристики атаки
Последствия
Строка CVSS v3.1
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Solarwinds Serv-U
cpe:2.3:a:solarwinds:serv-u:*:*:*:*:*:*:*:*
|
— |
15.5.4
|