Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

CVE-2007-5665

Gravedad CVSS v2.0:
ALTA
Tipo:
CWE-264 Permisos, privilegios y/o control de acceso
Fecha de publicación:
09/01/2008
Última modificación:
09/04/2025

Descripción

STEngine.exe 3.5.0.20 en Novell ZENworks Endpoint Security Management (ESM) 3.5, y otras versiones ESM anterior a 3.5.0.82, dinamicamente crea secuencias de comandos en un directorio con permisos de escritura para todos cuando genera informes de diagnóstico, lo cual permite a usuarios locales ganar privilegios, como se demostró con la creación del binario cmd.exe en el directorio de informes de diagnóstico.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:novell:zenworks_endpoint_security_management:*:*:*:*:*:*:*:* 3.5 (incluyendo)