CVE-2020-25507Неправильное назначение разрешений во время установочного скрипта TeamworkCloud 18.0 — 19.0 позволяет локальному непривилегированному злоумышленнику выполнять произвольный код от имени root. Во время установки пользователю предлагается установить системный файл среды с разрешениями на запись для всех (0777 /etc/environment). Любой локальный непривилегированный пользователь может выполнить произвольный код, просто записав в /etc/environment, что заставит всех пользователей, включая root, выполнить произвольный код при следующем входе в систему или перезагрузке. Кроме того, весь домашний каталог пользователя twcloud в /home/twcloud рекурсивно получает разрешения на запись для всех. Это позволяет любому локальному непривилегированному злоумышленнику выполнять произвольный код от имени twcloud. Этот продукт ранее назывался Cameo Enterprise Data Warehouse (CEDW).