Security Lab

Неавторизованный доступ к базе данных в ZMerge

Дата публикации:10.09.2002
Всего просмотров:1476
Опасность:
Низкая
Наличие исправления: Нет
Количество уязвимостей:1
CVE ID: Нет данных
Вектор эксплуатации: Удаленная
Воздействие: Компрометация системы
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты: ZMerge 4.x
ZMerge 5.x
Описание: ZMerge (http://www.gsw.com/) – инструмент Lotus Notes/Domino, который используется для отображения данных между базой данных Lotus Notes и структурными файлами данных. По умолчанию, доступ к административной базе данных ZMerge разрешен всем пользователям, включая анонимного Web пользователя. В этом случае неправомочный пользователь может изменять данные, импортировать/экспортировать сценарии, которые могут быть выполнены администратором или намеченным агентом (анонимные Web пользователи могут читать и изменять сценарии, но не могут их выполнить в интерактивном режиме через Web). Созданные сценарии могут выполнять различные действия, типа чтения и записи произвольных файлов на сервере.
Ссылки: Granite Software ZMerge Administration Database Insecure Default ACLs