Несколько уязвимостей обнаружено в ScriptLogic. Удаленный авторизованный пользователь может получить административный доступ к хосту в Windows домене, в котором запущен ScriptLogic RunAdmin сервис или ScriptLogic RPC сервис. Удаленный авторизованный пользователь может модифицировать журналы регистрации ScriptLogic.
CERT сообщил, что программа не препятствует пользователям делать RunAdmin запросы с конфигурационными данными, представленными пользователем. Приложения, перечисленные в файле конфигурации, могут быть выполнены на целевой системе. Локальный пользователь может эксплуатировать RunAdmin, чтобы выполнить произвольные команды на удаленных серверах с привилегиями учетной записи SLSVCUSER. Этот специфический недостаток затрагивает только системы с дополнительной службой RunAdmin.
Также сообщается, что программа устанавливает небезопасные разрешения на "LOGS$" шару, используемую для регистрации. Удаленный авторизованный пользователь домена может модифицировать файлы регистрации ScriptLogic.
Уязвимость обнаружена в ScriptLogic 4.01.
