vmdb/app/controllers/application_controller/performance.rb в Red Hat CloudForms 3.1 Management Engine (CFME) до версии 5.3 позволяет удален…
vmdb/app/controllers/application_controller/performance.rb в Red Hat CloudForms 3.1 Management Engine (CFME) до версии 5.3 позволяет удаленным аутентифицированным пользователям получать привилегии через неуказанные векторы, связанные с "небезопасным методом отправки".
Слабости этой категории связаны с управлением разрешениями, привилегиями и другими функциями безопасности, применяемыми для контроля доступа.
https://cwe.mitre.org/data/definitions/264.html →Открыть в коллекции CWE →Продукт использует внешние входные данные совместно с рефлексией для выбора классов или кода, однако не предотвращает должным образом выбор посредством этих входных данных ненадлежащих классов или кода.
https://cwe.mitre.org/data/definitions/470.html →Открыть в коллекции CWE →Злоумышленник передаёт целевому приложению значение, которое затем используется методами рефлексии для идентификации класса, метода или поля. Например, в языке программирования Java библиотеки рефлексии позволяют приложению по имени инспектировать, загружать и вызывать классы и их компоненты. Если злоумышленник может управлять входными данными для этих методов — включая имя класса/метода/поля или передаваемые параметры, — он может вынудить целевое приложение вызывать некорректные методы, читать произвольные поля или даже загружать и использовать вредоносные классы, созданные злоумышленником. Это может привести к раскрытию конфиденциальной информации приложением, возврату некорректных результатов или даже к получению злоумышленником контроля над целевым приложением.
https://capec.mitre.org/data/definitions/138.html →Открыть в коллекции CAPEC →| Продукт | Вендор | Статус |
|---|---|---|
| certmonger | Отслеживается | |
| cfme | Отслеживается | |
| cfme-vnc-plugin | Отслеживается | |
| libdnet | Отслеживается | |
| mod_authnz_pam | Отслеживается | |
| mod_intercept_form_submit | Отслеживается | |
| mod_lookup_identity | Отслеживается | |
| netapp-manageability-sdk | Отслеживается | |
| open-vm-tools | Отслеживается | |
| prince | Отслеживается | |
| pyliblzma | Отслеживается | |
| ruby193-rubygem-Platform | Отслеживается | |
| ruby193-rubygem-actionmailer | Отслеживается | |
| ruby193-rubygem-actionpack | Отслеживается | |
| ruby193-rubygem-actionwebservice | Отслеживается | |
| ruby193-rubygem-active_hash | Отслеживается | |
| ruby193-rubygem-activemodel | Отслеживается | |
| ruby193-rubygem-activerecord | Отслеживается | |
| ruby193-rubygem-activeresource | Отслеживается | |
| ruby193-rubygem-activesupport | Отслеживается |