NVD Vulnerability Detail
Search Exploit, PoC
CVE-2015-0926
Summary

Labtech before 100.237 on Linux uses world-writable permissions for root-executed scripts, which allows local users to gain privileges by modifying a script file.

Publication Date Feb. 1, 2015, 11:59 a.m.
Registration Date Jan. 26, 2021, 2:45 p.m.
Last Update Nov. 21, 2024, 11:24 a.m.
CVSS2.0 : MEDIUM
Score 6.8
Vector AV:L/AC:L/Au:S/C:C/I:C/A:C
攻撃元区分(AV) ローカル
攻撃条件の複雑さ(AC)
攻撃前の認証要否(Au) 単一
機密性への影響(C)
完全性への影響(I)
可用性への影響(A)
Get all privileges. はい
Get user privileges いいえ
Get other privileges いいえ
User operation required いいえ
Affected software configurations
Configuration1 or higher or less more than less than
cpe:2.3:a:labtech_software:labtech:*:*:*:*:*:*:*:* 55.170
Related information, measures and tools
Common Vulnerabilities List
JVN Vulnerability Information
LabTech に権限昇格の脆弱性
Title LabTech に権限昇格の脆弱性
Summary

不適切なアクセス制御 (CWE-284) Linux プラットフォーム用 LabTech スタートアップスクリプトとそのディレクトリには、全ユーザが書き込み可能な権限が設定されており、スクリプトが root 権限で実行されます。 CWE-284: Improper Access Control https://cwe.mitre.org/data/definitions/284.html

Possible impacts 当該製品がインストールされたシステムにログイン可能なユーザによって、root 権限を取得される可能性があります。
Solution

[アップデートする] 開発者が提供する情報をもとに、最新版へアップデートしてください。 本脆弱性は version 100.237 で修正されています。 [ワークアラウンドを実施する] 次のワークアラウンドを実施することで、本脆弱性の影響を回避することが可能です。  ・ Labtech のスタートアップスクリプトおよびそのディレクトリのパーミッションを world-writable にしない
Publication Date Jan. 23, 2015, midnight
Registration Date Jan. 28, 2015, 5:19 p.m.
Last Update Feb. 16, 2015, 3:53 p.m.
Affected System
LabTech Software
LabTech 100.237 より前のバージョン
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
その他
Change Log
No Changed Details Date of change
0 [2015年01月28日]
  掲載
[2015年02月16日]
  参考情報:National Vulnerability Database (NVD) (CVE-2015-0926) を追加		 Feb. 17, 2018, 10:37 a.m.