Выполнение произвольных команд в PeopleTools
| Дата публикации: | 13.03.2003 |
| Всего просмотров: | 1147 |
| Опасность: | Высокая |
| Наличие исправления: | Да |
| Количество уязвимостей: | 1 |
| CVE ID: | Нет данных |
| Вектор эксплуатации: | Удаленная |
| Воздействие: | Компрометация системы |
| CWE ID: | Нет данных |
| Наличие эксплоита: | Нет данных |
| Уязвимые продукты: | PeopleSoft PeopleTools 8.x |
| Описание: | Уязвимость обнаружена в PeopleSoft PeopleTools приложении в "SchedulerTransfer" Java servlet. Удаленный пользователь может выполнить произвольные команды на уязвимой системе.
Internet Security Systems (ISS) сообщил, что удаленный пользователь может записывать произвольные файлы в произвольное местоположение на системе с разрешениями Web сервера и затем выполнить его, используя возможность “ file upload ” в SchedulerTransfer servlet. Это возможно, потому что система не в состоянии должным образом фильтровать некоторые символы обхода каталога. Дополнительные подробности не сообщаются Уязвимость обнаружена в PeopleSoft PeopleTools 8.10 - 8.18, 8.40, и 8.41 |
| Ссылки: | ISS Security Brief: PeopleSoft PeopleTools Remote Command Execution Vulnerability |