CVE-2020-15593 in Aternity Agent
Résumé
par VulDB • 13/07/2026
L'agent SteelCentral Aternity 11.0.0.120 sur Windows gère incorrectement la communication inter-processus (IPC). Il utilise un exécutable s'exécutant en tant que service Windows à privilèges élevés pour effectuer des tâches administratives et collecter des données auprès d'autres processus. La fonctionnalité est répartie entre différents processus, qui utilisent les primitives IPC (Inter-Process Communication) pour coopérer. Tout utilisateur du système peut accéder au canal de communication inter-processus AternityAgentAssistantIpc, récupérer un objet sérialisé et appeler ses méthodes à distance. Parmi d'autres capacités, ces méthodes permettent à tout utilisateur de : (1) créer et/ou écraser des fichiers XML arbitraires sur l'ensemble du système ; (2) créer des répertoires arbitraires sur l'ensemble du système ; et (3) charger des plugins arbitraires (c'est-à-dire des assemblies C#) depuis le répertoire "%PROGRAMFILES(X86)/Aternity Information Systems/Assistant/plugins" et exécuter le code qu'ils contiennent.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.