Veröffentlichungsdatum

 

ReferenzPROCALL-5150
Kritikalität

HIGH

CVSS-Score7.3 und 7.9

Beschreibung

Die WiX-Funktion RemoveFolderEx erlaubt es, bei Nutzung durch Nutzer mit eingeschränkten Rechten mittels Directory Junctions geschützte Verzeichnisse zu löschen, wenn Administratoren den Installer ausführen (CVE-2024-29188).

Die Verwendung des unsicheren Verzeichnisses C:\Windows\Temp ermöglicht es Nutzern mit niedrigen Rechten, Binärdateien zu platzieren, die später mit SYSTEM-Rechten ausgeführt werden können (CVE-2024-29187).

Betroffene Versionen

Diese Schwachstelle betrifft alle bisher veröffentlichten Versionen der Installationsprogramme von ProCall 8 Enterprise und ProCall 7 Enterprise (nur Add-Ons aus dem Downloadpaket) sowie MetaDirectory 6 Enterprise und ProCall Analytics 3

  • ProCall Enterprise 8.x (alle Unterversionen)
    • Installationsprogramm UCServer und Add-Ons (nicht ProCall Client)
  • ProCall Enterprise 7.x (nur Add-Ons) (alle Unterversionen)
    • Installationsprogramme der Add-Ons EWS Calendar Replicator, SIP Proxy und XMPP Proxy (nicht UCServer und nicht ProCall Client)
  • MetaDirectory 6 Enterprise (alle Unterversionen)
    • Installationsprogramm
  • ProCall Analytics 3
    • Installationsprogramm

Versionen mit Behebung des Problems

estos hat bereits Updates mit Behebungen der Schwachstelle veröffentlicht. Kunden und Partner können die Updates über die bekannten Kanäle beziehen und dem normalen Update-Prozess folgen.

End-of-life

Haben Sie ältere estos Produktversionen im Einsatz, die nicht mehr unterstützt werden (End-of-Life ist erreicht), empfehlen wir aus Sicherheitsgründen dringend ein Update Ihrer Software auf die aktuellen Versionen.
Sicherheits-Patches werden regelmäßig nur für aktuelle Software-Versionen entwickelt und zur Verfügung gestellt.