Уязвимости был присвоен уровень критичности CVSS v3 3.3 - низкий уровень опасности. Поэтому такую уязвимость могли не рассматривать в срочном порядке.
ЕМНИП, в функциональность скрипта входила функция, удаляющая его после завершения процесса установки, поэтому эта модель угроз существовала не просто на словах. Да, возможно, она не идеальная, но компромиссная для бизнеса.
Да, в результате фишинга смогли получить сессию администратора приложения, загрузили веб-шелл, затем на машине подняли привилегии через cron-скрипт с правами 777 и вышли в домен.
Уязвимости был присвоен уровень критичности CVSS v3 3.3 - низкий уровень опасности. Поэтому такую уязвимость могли не рассматривать в срочном порядке.
ЕМНИП, в функциональность скрипта входила функция, удаляющая его после завершения процесса установки, поэтому эта модель угроз существовала не просто на словах. Да, возможно, она не идеальная, но компромиссная для бизнеса.
Да, в результате фишинга смогли получить сессию администратора приложения, загрузили веб-шелл, затем на машине подняли привилегии через cron-скрипт с правами 777 и вышли в домен.