CVE
-anhängig-
Anfällige Software
Remote Desktop Commander Suite Agent <= Version 4.8
Schwachstelle
Schwachstelle im unquotierten Dienstpfad
Zeitleiste
- 12.11.2021 Verkäufer informiert
- 10.12.2021 Der Verkäufer hat das Problem bestätigt und bittet um eine Freigabe am 9. Februar 2022
- 09.02.2022 Offenlegung
Beschreibung
WENN ein Kunde a.) unseren Agentendienst im Standardpfad C:\Programme\RDPSoft\Remote Desktop Reporter Agent installiert und b.) die Standard-NTFS-Berechtigungen von Windows im Stammverzeichnis von C:\ oder unter dem Ordner C:\Programme nicht aufgeweicht hat. Standardmäßig haben Standardbenutzer nicht die Berechtigung, neue Dateien im Stammverzeichnis von C: oder im Ordner “Programme” und seinen Unterordnern zu erstellen. Wenn unser Agentendienst in einem anderen Ordner installiert wurde und/oder die Standard-NTFS-Berechtigungen geschwächt wurden, kann dies dazu führen, dass der nicht zitierte Dienstpfad ausgenutzt werden kann.