Уязвимость программы автоматизации работы пользователей Radia Client Automation связана с недостатками разграничения доступа к некоторым функциям. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, перечислить учётные записи пользователей через запрос getUsers, назначить роль учётной записи пользователя через запрос addAssigneesToRole, удалить роль учётной записи пользователя через запрос removeAssigneesFromRole и др.
Использование рекомендаций производителя:
https://radiasupport.accelerite.com/hc/en-us/articles/203659814-Accelerite-releases-solutions-and-best-practices-to-enhance-the-security-for-RBAC-and-Remote-Notify-features
http://www.zerodayinitiative.com/advisories/ZDI-15-039/
| Балл | 10 — критическая опасность |