漏洞标题
N/A
漏洞描述信息
在TeamworkCloud 18.0 thru 19.0的安装脚本中,一个不正确的权限分配允许本地无特权攻击者以root权限执行任意代码。在安装过程中,用户被指导设置具有可写权限的系统环境文件(0777 /etc/environment)。任何本地无特权的用户都可以通过写入/etc/environment来执行任意代码,这将强制所有用户,包括root,在下一次登录或重启时执行任意代码。此外,/home/twcloud用户的整个家目录(twcloud)都被递归地授予可写权限。这使得任何本地无特权攻击者都可以像twcloud一样执行任意代码。此产品以前的名称是 Cameo Enterprise Data Warehouse (CEDW)。
CVSS信息
CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
An incorrect permission assignment during the installation script of TeamworkCloud 18.0 thru 19.0 allows a local unprivileged attacker to execute arbitrary code as root. During installation, the user is instructed to set the system enviroment file with world writable permissions (0777 /etc/environment). Any local unprivileged user can execute arbitrary code simply by writing to /etc/environment, which will force all users, including root, to execute arbitrary code during the next login or reboot. In addition, the entire home directory of the twcloud user at /home/twcloud is recursively given world writable permissions. This allows any local unprivileged attacker to execute arbitrary code, as twcloud. This product was previous named Cameo Enterprise Data Warehouse (CEDW).
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
No Magic TeamworkCloud 安全漏洞
漏洞描述信息
No Magic TeamworkCloud是美国No Magic公司的一款协作开发和版本模型存储的存储管理软件。该软件提供基于Web的管理界面,提供管理用户帐户,访问控制,LDAP集成,安全连接和项目配置等功能。可部署于云端、本地硬件。 No Magic TeamworkCloud 18.0版本至19.0版本存在安全漏洞,该漏洞源于etc环境的权限分配错误(chmod 777),允许任何本地非特权用户写入etc环境。攻击者可利用该漏洞可以通过向该文件写入任意代码逐步升级到root,这些代码将在下一次登录
CVSS信息
N/A
漏洞类别
其他