CVE-2002-0664 (CNNVD-200210-175)
中文标题:
Zmerge管理数据库默认访问控制列表不安全漏洞
英文标题:
The default Access Control Lists (ACLs) of the administration database for ZMerge 4.x and 5.x provid...
漏洞描述
中文描述:
Zmerge是一款用于映射Lotus Motes数据库和结构化数据文件数据的Lotus Notes/Domino工具,可以运行在32-bit的MS Windows操作系统下。 Zmerge管理数据库(Administration database)默认配置的访问控制列表不够安全 ,远程攻击者可以利用这个漏洞修改数据导入/输出脚本。 Zmerge管理数据库包含数据导入/输出脚本,脚本由Zmerge程序解释,允许脚本读和写服务器上的任意文件,默认情况下包含多个这样的脚本。 Zmerge管理数据库允许用户使用Notes客户端运行这些脚本,而不允许攻击者从WEB客户端直接调用,原因是数据库使用了不能运行在WEB上下文的Notes规则语言"@ functions"。但是由于访问控制规则不够安全,Zmerge管理数据库允许所有用户读取和修改这些脚本,即便是WEB用户也可以进行读取和修改操作,通过修改这些脚本,可以在下次管理员重新运行这些脚本的时候执行恶意用户修改的任意脚本代码,有可能造成权限提升,删除修改任意系统文件。
英文描述:
The default Access Control Lists (ACLs) of the administration database for ZMerge 4.x and 5.x provides arbitrary users (including anonymous users) with Manager level access, which allows the users to read or modify import/export scripts.
CWE类型:
标签:
受影响产品
| 厂商 | 产品 | 版本 | 版本范围 | 平台 | CPE |
|---|---|---|---|---|---|
| granite_software | zmerge | 4.0 | - | - |
cpe:2.3:a:granite_software:zmerge:4.0:*:*:*:*:*:*:*
|
| granite_software | zmerge | 5.0 | - | - |
cpe:2.3:a:granite_software:zmerge:5.0:*:*:*:*:*:*:*
|
解决方案
中文解决方案:
英文解决方案:
临时解决方案:
CVSS评分详情
AV:N/AC:L/Au:N/C:P/I:P/A:P
时间信息
利用信息
数据源详情
| 数据源 | 记录ID | 版本 | 提取时间 |
|---|---|---|---|
| CVE | cve_CVE-2002-0664 |
2025-11-11 15:17:23 | 2025-11-11 07:32:16 |
| NVD | nvd_CVE-2002-0664 |
2025-11-11 14:50:27 | 2025-11-11 07:41:02 |
| CNNVD | cnnvd_CNNVD-200210-175 |
2025-11-11 15:08:41 | 2025-11-11 07:48:49 |
版本与语言
安全公告
变更历史
查看详细变更
- vulnerability_type: 未提取 -> 配置错误
- cnnvd_id: 未提取 -> CNNVD-200210-175
- data_sources: ['cve', 'nvd'] -> ['cnnvd', 'cve', 'nvd']
查看详细变更
- severity: SeverityLevel.MEDIUM -> SeverityLevel.HIGH
- cvss_score: 未提取 -> 7.5
- cvss_vector: NOT_EXTRACTED -> AV:N/AC:L/Au:N/C:P/I:P/A:P
- cvss_version: NOT_EXTRACTED -> 2.0
- affected_products_count: 0 -> 2
- data_sources: ['cve'] -> ['cve', 'nvd']