web/admin/data.js en el componente Performance Center Virtual Table Server (VTS) en HPE LoadRunner 11.52 hasta el parche 3, 12.00 hasta el parche 1, 12.01 hasta el parche 3, 12.02 hasta el parche 2 y 12.50 hasta el parche 3 y Performance Center 11.52 hasta el parche 3, 12.00 hasta el parche 1, 12.01 hasta el parche 3, 12.20 hasta el parche 2 y 12.50 hasta el parche 1 no restringe rutas de archivo enviadas a un llamada desvinculada, lo que permite a atacantes remotos borrar archivos arbitrarios a través del parámetro de ruta a data/import_csv, también conocido como ZDI-CAN-3555.

La funcionalidad import_csv en HPE LoadRunner 11.52 hasta la versión patch 3, 12.00 hasta la versión patch 1, 12.01 hasta la versión patch 3, 12.02 hasta la versión patch 2 y 12.50 hasta la versión patch 3 y Performance Center 11.52 hasta la versión patch 3, 12.00 hasta la versión patch 1, 12.01 hasta la versión patch 3, 12.20 hasta la versión patch 2 y 12.50 hasta la versión patch 1 no restringe las rutas de archivo enviadas a una llamada unlink, lo que permite a atacantes remotos borrar archivos arbitrarios a través de vectores no especificados, también conocido como ZDI-CAN-3555.