Ang sarilingCloud ay isang software ng client-server na nagbibigay sa mga tagapamahala ng maraming pribilehiyo tulad ng pagsasakatuparan ng mga utos sa pamamagitan ng pagkilos bilang inilaan na gumagamit, na mahalagang ginagaya ang isa pang gumagamit upang maisakatuparan ang nais na mga gawain. Para sa mga kadahilanang panseguridad, nagagawa lamang ng mga tagapamahala ng pangkat ang mga bagay sa ilalim ng payong ng mga kapwa gumagamit ng miyembro ng pangkat. Sa kabila ng panukalang ito na inilalagay, ang pagsasamantala ng isang kritikal na pagpapanggap ng pahintulot ng gumagamit na bypass na atake.
Ang kahinaan ay unang natuklasan ni Thierry Viaccoz noong 15ikang Marso. Ang unang abiso sa vendor ay ipinadala sa 16ikang Marso at ang vendor ay tumugon pabalik na may isang mensahe ng pagkilala sa parehong araw. Mahigit isang buwan lamang ang lumipas, ang naitama na bersyon ng bersyon ng software na 0.2.0 ay inilabas sa 17ikang Marso at isang petsa ng pagsisiwalat ng publiko para sa bagay na ito ay nakatakda sa 29ikang August na ilang araw lamang ang nakakaraan.
Ang kahinaan na ito ay nakakaapekto sa sariling bersyon ngCloud na 0.1.2. Ang bersyon 0.2.0 ay natagpuang hindi apektado. Ang iba pang mga bersyon ng sarilingClouc ay hindi pa nasusubukan ngunit pinaghihinalaan na ang mga mas lumang bersyon ay maaaring masugatan sa parehong depekto tulad ng sa bersyon 0.1.2.
Ang mataas na peligro na peligro na ito ay hindi pa nakatalaga sa isang label ng pagkakakilanlan ng CVE hanggang ngayon. Ang kaso nito ay sinusunod gayunpaman sa ilalim ng label ng CSNS ID na CSNC-2018-015. Ang kahinaan ay malayo nang mapakinabangan, at nakakaapekto ito sa Pagpapanggap ng sarilingCloud.
Upang muling likhain ang pag-atake na ito, kailangan mo munang lumikha ng dalawang grupo (g1 at g2). Susunod, dapat kang lumikha ng apat na mga gumagamit gamit ang mga pangkat na ito: test1, pangkat 1, pangkat ng admin = pangkat 1; pagsubok 2, pangkat 1, pangkat ng admin = walang pangkat; pagsubok 3, pangkat 2, pangkat ng admin = pangkat 2; pagsubok 4, pangkat 2, pangkat ng admin = walang pangkat.
Ang pinaka-makabuluhang pagpapagaan, pagtatrabaho sa paligid, at / o pag-aayos na inilabas para sa isyung ito ay isang payo sa mga gumagamit na suriing patuloy ang pahintulot ng ibang tao upang mapigilan ang mga tagapamahala ng pangkat na gayahin ang ibang tao o mga pangkat.
