Конечная точка API для синхронизации пользователей в 2N Access Commander версии 3.4.1 не имела достаточной проверки входных данных, позволяющей внедрять команды ОС.
Эту уязвимость можно использовать только после аутентификации с правами администратора.
Показать оригинальное описание (EN)
API endpoint for user synchronization in 2N Access Commander version 3.4.1 did not have a sufficient input validation allowing for OS command injection. This vulnerability can only be exploited after authenticating with administrator privileges.
Характеристики атаки
Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Условия для атаки
Требуются
Нужны дополнительные условия
Нужны права
Высокие
Нужны права администратора
Участие пользователя
Пассивное
Минимальное взаимодействие
Последствия
Конфиденциальность
Высокое
Полная утечка данных
Целостность
Высокое
Полная модификация данных
Доступность
Высокое
Полный отказ в обслуживании
Строка CVSS v4.0
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
2n Access_Commander
cpe:2.3:a:2n:access_commander:*:*:*:*:*:*:*:*
|
— |
3.4.2
|