漏洞标题
N/A
漏洞描述信息
CWE-347:数据中心专家软件在处理升级包时存在未正确验证加密签名的漏洞。攻击者可以通过操纵升级包包含任意的bash脚本,并以root权限执行,从而危及该软件的安全。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
漏洞类别
密码学签名的验证不恰当
漏洞标题
N/A
漏洞描述信息
CWE-347: Improper Verification of Cryptographic Signature vulnerability exists that could
compromise the Data Center Expert software when an upgrade bundle is manipulated to
include arbitrary bash scripts that are executed as root.
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H
漏洞类别
密码学签名的验证不恰当
漏洞标题
Schneider Electric Data Center Expert 数据伪造问题漏洞
漏洞描述信息
Schneider Electric Data Center Expert是美国施耐德电气(Schneider Electric)公司的一款数据监控软件。 Schneider Electric Data Center Expert 8.1.1.3及之前版本存在数据伪造问题漏洞,该漏洞源于加密签名验证不当,当升级包被操纵以包含以 root 身份执行的任意 bash 脚本时,可能会危及数据中心专家软件。
CVSS信息
N/A
漏洞类别
授权问题