В случае использования этой уязвимости злоумышленник, прошедший проверку подлинности, может (стандартный пользователь оптимизации процессов) для вмешательства в запросы в Captive Historian и выполнение кода под управлением администратора SQL Server. привилегии, что потенциально может привести к полной компрометации SQL Сервер.
Показать оригинальное описание (английский)
The vulnerability, if exploited, could allow an authenticated miscreant (Process Optimization Standard User) to tamper with queries in Captive Historian and achieve code execution under SQL Server administrative privileges, potentially resulting in complete compromise of the SQL Server.
Матрица атаки
Вектор атаки
Локальный
Локальный доступ
Сложность атаки
Низкая
Легко эксплуатировать
Требуемые привилегии
Низкие
Нужны базовые права
Взаимодействие с пользователем
Не требуется
Не нужно действие пользователя
Влияние на конфиденциальность
Высокое
Полная утечка данных
Влияние на целостность
Высокое
Полная модификация
Влияние на доступность
Нет
Нет отказа в обслуживании
СТРОКА CVSS ВЕКТОРА
CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:N