Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2015-10328

Опубликовано: 07 июн. 2015
Источник: fstec
CVSS2: 10
EPSS Высокий

Описание

Уязвимость программы управления информационными системами ZENworks Configuration Management существует из-за неверного ограничения имени пути к каталогу с ограниченным доступом. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код через специально сформированное имя директории, задаваемое в параметре uid, связанном с именем WAR-файла, содержащегося в том числе в POST-запросе

Вендор

Novell Inc.

Наименование ПО

ZENworks Configuration Management

Версия ПО

от 11 до 11.3.2 (ZENworks Configuration Management)

Тип ПО

Сетевое средство

Операционные системы и аппаратные платформы

Microsoft Corp Windows -
Microsoft Corp Windows -
Novell Inc. SUSE Linux Enterprise .
Novell Inc. SUSE Linux Enterprise .
Red Hat Inc. Red Hat Enterprise Linux .
Red Hat Inc. Red Hat Enterprise Linux .

Уровень опасности уязвимости

Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)

Возможные меры по устранению уязвимости

Обновление программного обеспечения до версии 11.3.2 или более новой

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 99%
0.80149
Высокий

10 Critical

CVSS2

Связанные уязвимости

nvd логотип

CVE-2015-0779

nvd
больше 10 лет назад

Directory traversal vulnerability in UploadServlet in Novell ZENworks Configuration Management (ZCM) 10 and 11 before 11.3.2 allows remote attackers to execute arbitrary code via a crafted directory name in the uid parameter, in conjunction with a WAR filename in the filename parameter and WAR content in the POST data, a different vulnerability than CVE-2010-5323 and CVE-2010-5324.

github логотип

GHSA-49r7-w8p8-xgc3

github
больше 3 лет назад

Directory traversal vulnerability in UploadServlet in Novell ZENworks Configuration Management (ZCM) 10 and 11 before 11.3.2 allows remote attackers to execute arbitrary code via a crafted directory name in the uid parameter, in conjunction with a WAR filename in the filename parameter and WAR content in the POST data, a different vulnerability than CVE-2010-5323 and CVE-2010-5324.

EPSS

Процентиль: 99%
0.80149
Высокий

10 Critical

CVSS2