MDT AutoSave Uncontrolled Search Path Element

A function in MDT AutoSave versions prior to v6.02.06 is used to retrieve system information for a specific process, and this information collection executes multiple commands and summarizes the information into an XML. This function and subsequent process gives full path to the executable and is therefore vulnerable to binary hijacking.

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N

SQL命令中使用的特殊元素转义处理不恰当(SQL注入)

MDT AutoSave SQL注入漏洞

MDT AutoSave是一个应用软件。提供一个自动化变更管理功能。 MDT AutoSave 存在SQL注入漏洞，该漏洞源于设备中的一个函数用于检索特定进程的系统信息，该信息收集执行多个命令并汇总信息转换为XML。此函数和后续过程提供可执行文件的完整路径，因此容易受到二进制劫持。

N/A

N/A