Проблема была обнаружена в Biztalk360 до версии 11.5. Из-за неправильной обработки введенных пользователем данных в механизме загрузки прошедший проверку подлинности злоумышленник может записывать файлы за пределы каталога назначения и/или принудительно выполнять аутентификацию со стороны службы, то есть обход каталога.
Показать оригинальное описание (EN)
An issue was discovered in Biztalk360 before 11.5. Because of mishandling of user-provided input in an upload mechanism, an authenticated attacker is able to write files outside of the destination directory and/or coerce an authentication from the service, aka Directory Traversal.
Характеристики атаки
Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Нужны права
Низкие
Нужны базовые права
Участие пользователя
Не требуется
Не нужно действие пользователя
Последствия
Конфиденциальность
Высокое
Полная утечка данных
Целостность
Высокое
Полная модификация данных
Доступность
Низкое
Частичное нарушение работы
Строка CVSS v3.1