In ajenti 2.1.31 wurde eine kritische Schwachstelle gefunden. Es geht um eine nicht näher bekannte Funktion der Komponente API. Durch Manipulation mit unbekannten Daten kann eine erweiterte Rechte-Schwachstelle ausgenutzt werden. CWE definiert das Problem als CWE-269. Die Gefahr wurde am 14.10.2019 von Jeremy Brown als EDB-ID 47497 mittels Exploit (Exploit-DB) an die Öffentlichkeit getragen. Auf exploit-db.com kann das Advisory eingesehen werden. Eine eindeutige Identifikation der Schwachstelle wird mit CVE-2019-25066 vorgenommen. Der Angriff kann über das Netzwerk erfolgen. Es sind keine technische Details verfügbar. Desweiteren ist ein Exploit verfügbar. Der Exploit steht zur öffentlichen Verfügung. MITRE ATT&CK führt die Angriffstechnik T1068 für diese Schwachstelle. Er gilt als proof-of-concept. Der Exploit wird unter exploit-db.com zur Verfügung gestellt. Der Preis als 0-Day war auf dem Schwarzmarkt etwa $0-$5k auf dem Schwarzmarkt. Ein Aktualisieren auf die Version 2.1.32 vermag dieses Problem zu lösen. Der Patch wird als 7aa146b724e0e20cfee2c71ca78fafbf53a8767c bezeichnet. Dieser kann von github.com bezogen werden. Als bestmögliche Massnahme wird das Einspielen eines Upgrades empfohlen. Das Erscheinen einer Gegenmassnahme geschah schon vor und nicht nach der Veröffentlichung der Schwachstelle.