Файлы сертификатов установщика в папке …/bootstrap/common/ssl, похоже, не имеют ограниченных разрешений в системах Windows (пользователи имеют доступ для чтения и выполнения). В частности, для файла client.key это потенциально может привести к эксплойтам, поскольку это раскрывает идентификационные данные агента любому стандартному пользователю, прошедшему локальную аутентификацию.
Показать оригинальное описание (EN)
The installer certificate files in the …/bootstrap/common/ssl folder do not seem to have restricted permissions on Windows systems (users have read and execute access). For the client.key file in particular, this could potentially lead to exploits, as this exposes agent identity material to any locally authenticated standard user.
Характеристики атаки
Способ атаки
Локальный
Нужен локальный доступ
Сложность
Низкая
Легко эксплуатировать
Условия для атаки
Не требуются
Нет дополнительных условий
Нужны права
Низкие
Нужны базовые права
Участие пользователя
Не требуется
Не нужно действие пользователя
Последствия
Конфиденциальность
Высокое
Полная утечка данных
Целостность
Нет
Нет модификации данных
Доступность
Нет
Нет нарушения работы
Строка CVSS v4.0