VULHUB ™

Zmerge是一款用于映射Lotus Motes数据库和结构化数据文件数据的Lotus Notes/Domino工具，可以运行在32-bit的MS Windows操作系统下。 Zmerge管理数据库(Administration database)默认配置的访问控制列表不够安全 ，远程攻击者可以利用这个漏洞修改数据导入/输出脚本。 Zmerge管理数据库包含数据导入/输出脚本，脚本由Zmerge程序解释，允许脚本读和写服务器上的任意文件，默认情况下包含多个这样的脚本。 Zmerge管理数据库允许用户使用Notes客户端运行这些脚本，而不允许攻击者从WEB客户端直接调用，原因是数据库使用了不能运行在WEB上下文的Notes规则语言\"@ functions\"。但是由于访问控制规则不够安全，Zmerge管理数据库允许所有用户读取和修改这些脚本，即便是WEB用户也可以进行读取和修改操作，通过修改这些脚本，可以在下次管理员重新运行这些脚本的时候执行恶意用户修改的任意脚本代码，有可能造成权限提升，删除修改任意系统文件。

Zmerge是一款用于映射Lotus Motes数据库和结构化数据文件数据的Lotus Notes/Domino工具，可以运行在32-bit的MS Windows操作系统下。 Zmerge管理数据库(Administration database)默认配置的访问控制列表不够安全 ，远程攻击者可以利用这个漏洞修改数据导入/输出脚本。 Zmerge管理数据库包含数据导入/输出脚本，脚本由Zmerge程序解释，允许脚本读和写服务器上的任意文件，默认情况下包含多个这样的脚本。 Zmerge管理数据库允许用户使用Notes客户端运行这些脚本，而不允许攻击者从WEB客户端直接调用，原因是数据库使用了不能运行在WEB上下文的Notes规则语言\"@ functions\"。但是由于访问控制规则不够安全，Zmerge管理数据库允许所有用户读取和修改这些脚本，即便是WEB用户也可以进行读取和修改操作，通过修改这些脚本，可以在下次管理员重新运行这些脚本的时候执行恶意用户修改的任意脚本代码，有可能造成权限提升，删除修改任意系统文件。