ICS-CERT informuje o nowych podatnościach w produktach firmy Oprogramowanie Open Automation.(P24-401)
cert.pse-online.pl 3 tygodni temu
Produkt
Oprogramowanie Open Automation: przed wersją V20.00.0076
Numer CVE
CVE-2024-11220
Krytyczność
7.8/10
CVSS
AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
Opis
Lokalny użytkownik niskiego poziomu na komputerze serwera z uprawnieniami do uruchomionych usług OAS może utworzyć i wykonać raport dzięki pliku rdlx na samym systemie serwera. Każdy kod w pliku rdlx raportu jest wykonywany z uprawnieniami SYSTEM, co powoduje eskalację uprawnień.