Уязвимость элемента неконтролируемого пути поиска в Synology Presto Client до версии 2.1.3-0672 позволяет локальным пользователям читать или записывать произвольные файлы во время установки, заранее помещая вредоносную DLL в тот же каталог, что и установщик.
Показать оригинальное описание (EN)
An uncontrolled search path element vulnerability in Synology Presto Client before 2.1.3-0672 allows local users to read or write arbitrary files during installation by placing a malicious DLL in advance in the same directory as the installer.
Характеристики атаки
Способ атаки
Локальный
Нужен локальный доступ
Сложность
Высокая
Сложно эксплуатировать
Нужны права
Низкие
Нужны базовые права
Участие пользователя
Требуется
Нужно действие пользователя
Последствия
Конфиденциальность
Высокое
Полная утечка данных
Целостность
Высокое
Полная модификация данных
Доступность
Высокое
Полный отказ в обслуживании
Строка CVSS v3.1