Podatność CVE-2002-1145
Publikacja: 2002-10-28   Modyfikacja: 2012-02-12

Opis:
The xp_runwebtask stored procedure in the Web Tasks component of Microsoft SQL Server 7.0 and 2000, Microsoft Data Engine (MSDE) 1.0, and Microsoft Desktop Engine (MSDE) 2000 can be executed by PUBLIC, which allows an attacker to gain privileges by updating a webtask that is owned by the database owner through the msdb.dbo.mswebtasks table, which does not have strong permissions.

Typ:

CWE-Other

CVSS2 => (AV:N/AC:L/Au:N/C:C/I:C/A:C)

Ogólna skala CVSS
Znaczenie
Łatwość wykorzystania
10/10
10/10
10/10
Wymagany dostęp
Złożoność ataku
Autoryzacja
Zdalny
Niska
Nie wymagana
Wpływ na poufność
Wpływ na integralność
Wpływ na dostępność
Pełny
Pełny
Pełny
Affected software
Microsoft -> Data engine 
Microsoft -> Sql server 

 Referencje:
http://marc.info/?l=bugtraq&m=103487044122900&w=2
http://marc.info/?l=ntbugtraq&m=103486356413404&w=2
http://www.cisco.com/warp/public/707/cisco-sa-20030126-ms02-061.shtml
http://www.iss.net/security_center/static/10388.php
http://www.nextgenss.com/advisories/mssql-webtasks.txt
http://www.securityfocus.com/bid/5980
https://docs.microsoft.com/en-us/security-updates/securitybulletins/2002/ms02-061
Copyright 2024, cxsecurity.com

 

Back to Top