Уязвимость программного средства управления жизненным циклом разработки Polarion ALM (Application Lifecycle Management) связана с настройками прав доступа по умолчанию. Эксплуатация уязвимости может позволить нарушителю повысить свои привилегии до уровня NT AUTHORITY\SYSTEM
Компенсирующие меры:
при установке Polarion в Windows ограничить права доступа пользователей ко всем папкам установки, выполнив приведенные ниже команды из Windows powershell от имени администратора:
- icacls "<POLARION_HOME>" /grant "BUILTIN\Administrators:(OI)(CI)F" /grant "NT AUTHORITY\SYSTEM:(OI)(CI)F"
- icacls "<POLARION_HOME>" /inheritance:r
- icacls "<POLARION_HOME>\bundled\postgres" /grant "BUILTIN\Users:(OI)(CI)RX"
Необходимо обратить внимание, что POLARION_HOME - это путь к папке с именем “Polarion", а не: Polarion/polarion.
Использование рекомендаций производителя:
https://cert-portal.siemens.com/productcert/html/ssa-871717.html
| Балл | 6.8 — высокая опасность |