Kace Desktop Authority
Уязвимости
5
Эксплуатируемые
0
Макс. CVSS
9.8
Макс. EPSS
0.04162
Распределение по критичности
Критический
2
Высокий
0
Средний
3
Низкий
0
Затронутые диапазоны версий
10.0–11.2< 11.2< 11.3.2
Также сопоставлено как (исходные строки): kace_desktop_authority
Топ уязвимостей
CVE-2021-44031В Quest KACE Desktop Authority версий до 11.2 обнаружена проблема. /dacomponentui/profiles/profileitems/outlooksettings/Insertimage.aspx содержит уязвимость, которая может позволить выполнить удаленный код до аутентификации. Злоумышленник может загрузить ASP-файл, который будет находиться по адресу /images/{GUID}/{filename}.
CVE-2021-44029В Quest KACE Desktop Authority версий до 11.2 обнаружена проблема. Эта уязвимость позволяет злоумышленникам выполнять удаленный код посредством эксплуатации десериализации в функции RadAsyncUpload ASP.NET AJAX. Злоумышленник может использовать эту уязвимость, если известны ключи шифрования (из-за наличия CVE-2017-11317, CVE-2017-11357 или другими способами). Настройка по умолчанию для функции добавления в белый список типов в более новых версиях ASP.NET AJAX предотвращает эксплуатацию.
CVE-2021-44030Quest KACE Desktop Authority версий до 11.2 допускает XSS, поскольку не предотвращает попадание ненадежного HTML в метод jQuery.htmlPrefilter библиотеки jQuery.
CVE-2021-44028XXE может произойти в Quest KACE Desktop Authority версий до 11.2, поскольку файл конфигурации log4net может контролироваться злоумышленником, что связано с проблемой CVE-2018-1285.
CVE-2025-67813Quest KACE Desktop Authority до 11.3.1 имеет небезопасные разрешения на названные трубы, используемые для межпроцессной связи