Проблема была обнаружена в Biztalk360 до версии 11.5. Из-за неправильного контроля доступа любой пользователь может запросить загрузку DLL-файла. Во время загрузки вызывается метод.
Злоумышленник может создать вредоносную DLL, загрузить ее на сервер и использовать для удаленного выполнения кода на сервере.
Показать оригинальное описание (EN)
An issue was discovered in Biztalk360 before 11.5. Because of incorrect access control, any user is able to request the loading a DLL file. During the loading, a method is called. An attacker can craft a malicious DLL, upload it to the server, and use it to achieve remote code execution on the server.
Характеристики атаки
Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Нужны права
Не требуются
Права не нужны
Участие пользователя
Требуется
Нужно действие пользователя
Последствия
Конфиденциальность
Высокое
Полная утечка данных
Целостность
Высокое
Полная модификация данных
Доступность
Высокое
Полный отказ в обслуживании
Строка CVSS v3.1
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Kovai Biztalk360
cpe:2.3:a:kovai:biztalk360:*:*:*:*:*:*:*:*
|
— |
11.6.3963.2611
|