漏洞标题
N/A
漏洞描述信息
(1) SAS/Base 8.0 和 8.1 中的 sastcpd 的格式字符串漏洞,或(2) SAS/Integration Technologies 8.0 和 8.1 中的 objspawn 的格式字符串漏洞,允许本地用户通过命令行参数中的格式限定符执行任意代码。
CVSS信息
CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
Format string vulnerability in (1) sastcpd in SAS/Base 8.0 and 8.1 or (2) objspawn in SAS/Integration Technologies 8.0 and 8.1 allows local users to execute arbitrary code via format specifiers in a command line argument.
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
SAS SASTCPD本地命令行格式串漏洞
漏洞描述信息
SAS Software提供了数据分析、报告生成、企业级信息传递的工具和解决方案,软件有Unix、Linux及Windows下的版本。sastcpd是SAS Software软件架构中的任务生成程序。 sastcpd程序存在输入验证漏洞,可以使本地攻击者通过溢出攻击得到主机的管理员权限。 当sastcpd处理格式串命令行参数时存在问题,导致堆栈变量重写执行攻击者指定的任意指令。因为sastcpd一般是以suid root安装的,指令将以root的身份被执行。
CVSS信息
N/A
漏洞类别
授权问题