Эта уязвимость позволяет удаленным злоумышленникам выполнять произвольный код на затронутых установках Commvault CommCell 11.22.22. Хотя дл…
Эта уязвимость позволяет удаленным злоумышленникам выполнять произвольный код на затронутых установках Commvault CommCell 11.22.22. Хотя для эксплуатации этой уязвимости требуется аутентификация, существующий механизм аутентификации можно обойти. Конкретный недостаток существует в рабочем процессе Demo_ExecuteProcessOnGroup. Создав рабочий процесс, злоумышленник может указать произвольную команду для выполнения. Злоумышленник может использовать эту уязвимость для выполнения кода в контексте SYSTEM. Была ZDI-CAN-13889.
Программный продукт предоставляет API или аналогичный интерфейс для взаимодействия с внешними субъектами, однако интерфейс включает опасный метод или функцию, которые не имеют надлежащих ограничений.
https://cwe.mitre.org/data/definitions/749.html →Открыть в коллекции CWE →Злоумышленник через ранее установленное вредоносное приложение внедряет код в контекст веб-страницы, отображаемой компонентом WebView. С помощью внедрённого кода злоумышленник способен манипулировать DOM-деревом и cookie-файлами страницы, раскрывать конфиденциальную информацию и запускать атаки на веб-приложение изнутри веб-страницы.
https://capec.mitre.org/data/definitions/500.html →Открыть в коллекции CAPEC →