Security Lab

Выполнение произвольных команд в PeopleTools

Дата публикации:13.03.2003
Всего просмотров:973
Опасность:
Высокая
Наличие исправления: Да
Количество уязвимостей:1
CVE ID: Нет данных
Вектор эксплуатации: Удаленная
Воздействие: Компрометация системы
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты: PeopleSoft PeopleTools 8.x
Описание: Уязвимость обнаружена в PeopleSoft PeopleTools приложении в "SchedulerTransfer" Java servlet. Удаленный пользователь может выполнить произвольные команды на уязвимой системе.

Internet Security Systems (ISS) сообщил, что удаленный пользователь может записывать произвольные файлы в произвольное местоположение на системе с разрешениями Web сервера и затем выполнить его, используя возможность “ file upload ” в SchedulerTransfer servlet. Это возможно, потому что система не в состоянии должным образом фильтровать некоторые символы обхода каталога. Дополнительные подробности не сообщаются

Уязвимость обнаружена в PeopleSoft PeopleTools 8.10 - 8.18, 8.40, и 8.41

Ссылки: ISS Security Brief: PeopleSoft PeopleTools Remote Command Execution Vulnerability