exploitDog

GHSA-wvxg-vj6j-j677

Опубликовано: 03 июл. 2023

Источник: github

Github: Не прошло ревью

CVSS3: 9.8

Описание

Arcserve UDP through 9.0.6034 allows authentication bypass. The method getVersionInfo at WebServiceImpl/services/FlashServiceImpl leaks the AuthUUID token. This token can be used at /WebServiceImpl/services/VirtualStandbyServiceImpl to obtain a valid session. This session can be used to execute any task as administrator.

Arcserve UDP through 9.0.6034 allows authentication bypass. The method getVersionInfo at WebServiceImpl/services/FlashServiceImpl leaks the AuthUUID token. This token can be used at /WebServiceImpl/services/VirtualStandbyServiceImpl to obtain a valid session. This session can be used to execute any task as administrator.

Ссылки

EPSS

Процентиль: 99%

0.7897

Высокий

9.8 Critical

CVSS3

CVE ID

Дефекты

CWE-863

Связанные уязвимости

CVE-2023-26258

CVSS3: 9.8

nvd

больше 2 лет назад

Arcserve UDP through 9.0.6034 allows authentication bypass. The method getVersionInfo at WebServiceImpl/services/FlashServiceImpl leaks the AuthUUID token. This token can be used at /WebServiceImpl/services/VirtualStandbyServiceImpl to obtain a valid session. This session can be used to execute any task as administrator.

BDU:2023-03503

CVSS3: 9.8

fstec

больше 2 лет назад

Уязвимость веб-интерфейса управления программного средства для защиты данных ArcServe UDP, позволяющая нарушителю повысить свои привилегии и выполнить произвольный код

EPSS

Процентиль: 99%

0.7897

Высокий

9.8 Critical

CVSS3

CVE ID

Дефекты

CWE-863