发布日期:2013-10-15
更新日期:2013-10-18
受影响系统:
reviewboard reviewboard 1.x
描述:
--------------------------------------------------------------------------------
CVE(CAN) ID: CVE-2013-4409,CVE-2013-4410,CVE-2013-4411
ReviewBoard是开源代码审查应用程序。
ReviewBoard 1.6.19、1.7.15之前版本在解析JSON请求时Djblets库存在错误,攻击者利用特制的序列化Python对象可执行任意Python代码;由于未能正确限制对某些REST API的访问,可导致未授权访问,要利用此漏洞需要使用Local Sites功能、invite-only组或私有库;在仪表盘URL处理中存在错误,特制的URL可导致访问私密review请求。
<*来源:vendor
链接:
*>
建议:
--------------------------------------------------------------------------------
厂商补丁:
reviewboard
-----------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载: