Программа: NCP Secure Entry Client 8.11 Build 146

Уязвимость позволяет локальному
пользователю повысить свои привилегии на
системе.

1. Ошибка дизайна существует при обработке
опций командной строки, передаваемых
приложению ncpmon.exe. Локальный пользователь
может обойти ограничение опции "Configuration
Locks" и внести некоторые изменения путем
запуска ncpmon.exe с аргументом, длиной более
чем 261 символ.

2. Уязвимость существует из-за наличия
небезопасных разрешений на установочную
директорию приложения. Локальный
пользователь может создать сценарий "connect.bat",
который будет запущен с привилегиями SYSTEM
после того, как VPN соединение будет успешно
установлено.

Оставить мнение