Неавторизованный доступ к базе данных в ZMerge
| Дата публикации: | 10.09.2002 |
| Всего просмотров: | 1418 |
| Опасность: | Низкая |
| Наличие исправления: | Нет |
| Количество уязвимостей: | 1 |
| CVE ID: | Нет данных |
| Вектор эксплуатации: | Удаленная |
| Воздействие: | Компрометация системы |
| CWE ID: | Нет данных |
| Наличие эксплоита: | Нет данных |
| Уязвимые продукты: |
ZMerge 4.x
ZMerge 5.x |
| Описание: | ZMerge (http://www.gsw.com/) – инструмент Lotus Notes/Domino, который используется для отображения данных между базой данных Lotus Notes и структурными файлами данных. По умолчанию, доступ к административной базе данных ZMerge разрешен всем пользователям, включая анонимного Web пользователя. В этом случае неправомочный пользователь может изменять данные, импортировать/экспортировать сценарии, которые могут быть выполнены администратором или намеченным агентом (анонимные Web пользователи могут читать и изменять сценарии, но не могут их выполнить в интерактивном режиме через Web). Созданные сценарии могут выполнять различные действия, типа чтения и записи произвольных файлов на сервере. |
| Ссылки: | Granite Software ZMerge Administration Database Insecure Default ACLs |