Podatność CVE-2019-9486


Publikacja: 2019-04-30

Opis:
STRATO HiDrive Desktop Client 5.0.1.0 for Windows suffers from a SYSTEM privilege escalation vulnerability through the HiDriveMaintenanceService service. This service establishes a NetNamedPipe endpoint that allows applications to connect and call publicly exposed methods. An attacker can inject and execute code by hijacking the insecure communications with the service. This vulnerability also affects Telekom MagentaCLOUD through 5.7.0.0 and 1&1 Online Storage through 6.1.0.0.

Typ:

CWE-284

(Improper Access Control)

CVSS2 => (AV:N/AC:L/Au:S/C:C/I:C/A:C)

Ogólna skala CVSS
Znaczenie
Łatwość wykorzystania
9/10
10/10
8/10
Wymagany dostęp
Złożoność ataku
Autoryzacja
Zdalny
Niska
Jednorazowa
Wpływ na poufność
Wpływ na integralność
Wpływ na dostępność
Pełny
Pełny
Pełny
Affected software
Telekom -> Magentacloud 
Strato -> Hidrive desktop client 
Ionos -> 1&1 online storage 

 Referencje:
https://zer0-day.pw/articles/2019-04/HiDrive-LPE-via-Insecure-WCF-endpoint

Copyright 2024, cxsecurity.com

 

Back to Top