Security Lab

Доступ и изменение информации учетной записи в Pastel Accounting

Дата публикации:07.03.2003
Всего просмотров:982
Опасность:
Низкая
Наличие исправления: Нет
Количество уязвимостей:1
CVE ID: Нет данных
Вектор эксплуатации: Локальная сеть
Воздействие: Раскрытие важных данных
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты: Pastel Accounting 6.x
Описание: Уязвимость обнаружена в Pastel Accounting. Система раскрывает имена пользователей и пароли локальному пользователю. Локальный пользователь может получить неавторизованный доступ на систему.

Сообщается, что локальный пользователь может получить доступ к файлу "ACCUSER.DAT", который содержит имена пользователей и зашифрованные пароли. Согласно сообщению, существует сильная корреляция между открытыми паролями и зашифрованными паролями. Также сообщается, что локальный пользователь может заменить ACCUSER.DAT файл на целевой системе, файлом ACCUSER.DAT взятым из другой системы и затем обратится к Pastel Accounting с учетными записями другой системы.

Уязвимость обнаружена в Pastel Accounting 6.0 - 6.12

Ссылки: Pastel Accounting application security issues