VULHUB ™

MDAC(Microsoft Data Access Components)是一个把Web和数据库结合起来的软件包。它包含了一个叫RDS(Remote Data Services)的组件。RDS可以使用户通过IIS访问数据库，RDS与IIS都是默认安装的。 RDS中的一个组件DataFactory存在漏洞可以使Web服务用户获取IIS服务器上非公开的文件，远程攻击者也可以使用MDAC转发ODBC请求使之能访问到非公开的服务器。 如果服务器上安装了Microsoft JET OLE DB Provider或Microsoft DataShape Provider攻击者可以使用shell() VBA调用在系统上以System权限执行任意命令，具体细节可以参看Microsoft JET Database Engine VBA相关的漏洞，与当前这个漏洞结合使用可以使攻击者以System的权限在系统上执行任意命令。

MDAC(Microsoft Data Access Components)是一个把Web和数据库结合起来的软件包。它包含了一个叫RDS(Remote Data Services)的组件。RDS可以使用户通过IIS访问数据库，RDS与IIS都是默认安装的。 RDS中的一个组件DataFactory存在漏洞可以使Web服务用户获取IIS服务器上非公开的文件，远程攻击者也可以使用MDAC转发ODBC请求使之能访问到非公开的服务器。 如果服务器上安装了Microsoft JET OLE DB Provider或Microsoft DataShape Provider攻击者可以使用shell() VBA调用在系统上以System权限执行任意命令，具体细节可以参看Microsoft JET Database Engine VBA相关的漏洞，与当前这个漏洞结合使用可以使攻击者以System的权限在系统上执行任意命令。